L’authentification d’un courrier électronique permet au destinataire de s’assurer que le message est sûr et qu’il provient bien de la bonne personne. Ceci est possible grâce à des systèmes mis en place tels que DMARC, SPF, DKIM et ARC. Je vous parle aujourd’hui de ce dernier, l’ARC, qui s’avère plus qu’utile dans le cadre des flux de messagerie indirecte, à savoir quand un email passe par plusieurs intermédiaires. Il va alors permettre de préserver les résultats d’authentification de ce courrier afin que celui-ci soit validé au lieu d’être rejeté.
Qu’est-ce que l’ARC ?
L’ARC, acronyme d’Authenticated Received Chain ( ou « chaîne de réception authentifiée » en français) est un nouveau protocole approuvé en juin 2016 et publié par le groupe IETF DMARC sous la référence RFC 8617 en juillet 2019.
On peut le définir comme une chaîne de contrôle permettant de conserver les résultats d’authentification originaux d’un courrier électronique lorsque celui-ci passe par des flux de messagerie indirecte (comme une liste de diffusion ou un service de transfert d’emails par exemple) pouvant potentiellement modifier le message. Chaque organisme traitant le message en question peut ainsi, grâce au protocole ARC, avoir un aperçu des différentes entités l’ayant traité entre-temps et de l’évaluation de cette authentification à chaque étape de cette même chaîne. De cette manière, même les emails transférés et les emails de liste de diffusion peuvent être validés par les services de messagerie.
L’ARC ne fonctionne pas tout seul, car il ne peut que confirmer un statut d’authentification accompagnant un email. Il doit donc être utilisé conjointement avec des systèmes comme DMARC, SPF et DKIM.
Comment fonctionne le protocole ARC ?
Lorsqu’un expéditeur envoie son courrier électronique à un destinataire, c’est le serveur d’emails entrant de ce destinataire qui va recevoir le message en premier et le valider via les systèmes d’authentification DMARC, SPF et DKIM. Si ce même destinataire transfère ensuite ledit message vers une ou plusieurs autre(s) entité(s), alors son serveur d’emails sortant va insérer des en-têtes ARC. De cette manière, la dernière entité à réceptionner le message recevra en même temps les systèmes d’authentification appliqués (DMARC, SPF, DKIM et ARC).
Entre le serveur émetteur et le serveur destinataire, chaque entité traitant le message envoyé peut sceller ce dernier en apposant trois entêtes appelés « ARC set », créant de cette façon une sorte de chaîne de signatures de confiance. Chacun de ces seaux contient les informations d’authentification lorsque le courrier est reçu par un tiers. C’est le regroupement de l’ensemble de ces sceaux qui constitue l’ARC.
Les trois « ARC set » sont :
- ARC-Authentication-Results, soit l’état d’authentification dans lequel le message d’origine est reçu (DMARC, SPF et DKIM).
- ARC-Message-Signature, soit la signature de type DKIM du message à l’expédition.
- ARC-Seal, soit la signature de type DKIM de la chaîne ARC.
Pourquoi mettre en œuvre ARC ?
Lorsqu’un expéditeur ou un propriétaire de domaine utilise un protocole d’authentification de courrier électronique, certains services intermédiaires (comme les listes de diffusion ou les transferts d’emails) peuvent provoquer un blocage du message. Même si celui-ci est parfaitement légitime, il pourrait ne pas être remis au destinataire. On parle d’intermédiaires, car ces services reçoivent le courrier, peuvent parfois le modifier, et l’envoient ensuite à une ou plusieurs autres entités. Il s’agit du flux de courrier indirect.
C’est ici que le système ARC intervient puisqu’il a l’avantage de conserver les résultats de l’authentification des emails quand ceux-ci passent par plusieurs intermédiaires, permettant ainsi au récepteur du message de décider de recevoir le courrier en question après avoir consulté les résultats de l’ARC. Ce protocole donne donc beaucoup plus de chances aux messages légitimes d’être distribués correctement, même après être passés par plusieurs intermédiaires. Il offre également aux services de messagerie un moyen fiable et sûr de gérer l’authentification des courriers électroniques, y compris les messages passant par plusieurs expéditeurs.
