La autenticación de un correo electrónico permite al destinatario asegurarse de que el mensaje es seguro y que proviene de la persona correcta. Esto es posible gracias a sistemas implementados como DMARC, SPF, DKIM y ARC. Hoy les hablo de este último, el ARC, que resulta más que útil en el contexto de los flujos de mensajería indirecta, es decir, cuando un correo electrónico pasa por varios intermediarios. Entonces permitirá preservar los resultados de autenticación de dicho correo para que sea validado en lugar de ser rechazado.
¿Qué es el ARC?
El ARC, acrónimo de Authenticated Received Chain (o «cadena de recepción autenticada» en francés) es un nuevo protocolo aprobado en junio de 2016 y publicado por el grupo IETF DMARC bajo la referencia RFC 8617 en julio de 2019.
Se puede definir como una cadena de control que permite conservar los resultados de autenticación originales de un correo electrónico cuando este pasa por flujos de mensajería indirecta (como una lista de distribución o un servicio de reenvío de correos electrónicos, por ejemplo) que potencialmente pueden modificar el mensaje. Cada organismo que trata el mensaje en cuestión puede, gracias al protocolo ARC, tener una visión de las diferentes entidades que lo han tratado entretanto y de la evaluación de esa autenticación en cada etapa de la misma cadena. De esta manera, incluso los correos electrónicos transferidos y los correos electrónicos de listas de distribución pueden ser validados por los servicios de mensajería.
El ARC no funciona por sí solo, ya que solo puede confirmar un estado de autenticación que acompaña a un correo electrónico. Por lo tanto, debe utilizarse conjuntamente con sistemas como DMARC, SPF y DKIM.
¿Cómo funciona el protocolo ARC?
Cuando un remitente envía su correo electrónico a un destinatario, es el servidor de correo entrante de ese destinatario el que recibirá el mensaje primero y lo validará a través de los sistemas de autenticación DMARC, SPF y DKIM. Si ese mismo destinatario luego reenvía dicho mensaje a una o varias otra(s) entidad(es), entonces su servidor de correo saliente insertará encabezados ARC. De esta manera, la última entidad en recibir el mensaje recibirá al mismo tiempo los sistemas de autenticación aplicados (DMARC, SPF, DKIM y ARC).
Entre el servidor emisor y el servidor destinatario, cada entidad que trata el mensaje enviado puede sellarlo al aplicar tres encabezados llamados «conjunto ARC», creando de esta manera una especie de cadena de firmas de confianza. Cada uno de estos sellos contiene las informaciones de autenticación cuando el correo es recibido por un tercero. Es el agrupamiento de todos estos sellos lo que constituye el ARC.
Los tres «conjunto ARC» son:
- ARC-Authentication-Results, es decir, el estado de autenticación en el que se recibe el mensaje original (DMARC, SPF y DKIM).
- ARC-Message-Signature, es decir, la firma tipo DKIM del mensaje al ser enviado.
- ARC-Seal, es decir, la firma tipo DKIM de la cadena ARC.
¿Por qué implementar ARC?
Cuando un remitente o un propietario de dominio utiliza un protocolo de autenticación de correo electrónico, algunos servicios intermediarios (como las listas de distribución o los reenvíos de correos electrónicos) pueden causar un bloqueo del mensaje. Aunque el mensaje sea perfectamente legítimo, podría no ser entregado al destinatario. Hablamos de intermediarios porque estos servicios reciben el correo, a veces pueden modificarlo, y luego lo envían a una o varias otras entidades. Se trata del flujo de correo indirecto.
Aquí es donde el sistema ARC interviene, ya que tiene la ventaja de conservar los resultados de autenticación de los correos electrónicos cuando estos pasan por varios intermediarios, permitiendo así al receptor del mensaje decidir recibir el correo en cuestión después de consultar los resultados del ARC. Este protocolo ofrece por lo tanto muchas más oportunidades para que los mensajes legítimos se distribuyan correctamente, incluso después de haber pasado por varios intermediarios. También ofrece a los servicios de mensajería un medio fiable y seguro de gestionar la autenticación de correos electrónicos, incluidos los mensajes que pasan por varios remitentes.
