Accueil - Glossaire cybersécurité email - ARC

ARC : Authenticated Received Chain

Qu’est-ce que l’ARC ?

Définition de ARC

L’Authenticated Received Chain (ARC) est un standard d’authentification des courriels qui permet de préserver vos informations d’authentification, par une chaîne de responsabilité, des messages à travers les passages successifs entre différents serveurs de mail, notamment lors de renvois, d’utilisation de listes de diffusion ou de plateformes de filtrage. Développé pour résoudre les problèmes rencontrés avec le DMARC dans les environnements de messagerie complexes, l’ARC assure que les emails restent authentifiés même après avoir été redirigés ou retransmis par ces serveurs intermédiaires.

Il a été développé par le groupe de travail de l’Internet Engineering Task Force (IETF) et publié en tant que RFC 8617 en juillet 2019.

Principe de ARC

Lors du cheminement d’un mail, chaque serveur tiers peut sceller le message avant de le transmettre au serveur suivant, ce sceau est chiffré de la même façon que DKIM. Chaque sceau renferme les informations d’authentification au moment de la réception du message. L’ensemble de ces sceaux forme la chaîne d’authentification (”Authenticated Received Chain” en anglais) ce qui lui a donné son nom.

Cette chaîne de responsabilité permet de conserver les informations des standards SPF, DKIM et DMARC qui peuvent échouer lorsque les messages transitent par des serveurs tiers. Par exemple, la réécriture de l’émetteur (SRS) n’est pas utilisée, ce qui permet de préserver l’alignement DMARC. En faisant confiance à ARC, l’authentification du domaine est préservée.

Comment fonctionne ARC ?

Le scellement ARC repose sur l’ajout de trois nouveaux en-têtes :

ARC-Résultats d’authentification (AAR) : Cet en-tête contient les résultats d’authentification du courriel au moment du passage du mail sur le serveur. Il indique comment le courriel a été évalué en termes de SPF, DKIM et DMARC.
ARC-Message-Signature (AMS) : Cet en-tête contient la signature cryptographique du message, qui est similaire à celle de DKIM. Il permet de garantir l’intégrité des informations d’authentification fournies par les intermédiaires.
ARC-Seal (AS) : Cet en-tête contient aussi une signature cryptographique, qui est semblable à celle de DKIM mais ne prend pas en compte le body, il permet de valider tous les en-têtes ARC précédemment ajoutés, ainsi que le nouvel en-tête AMS.

Lorsqu’un courriel traverse plusieurs serveurs tiers, chaque serveur ajoute ses propres en-têtes AAR, AMS et AS, formant ainsi une chaîne d’authentification. Les serveurs de réception peuvent alors vérifier cette chaîne pour s’assurer que le courriel n’a pas été falsifié et que toutes les informations d’authentification sont intactes.

Comment ARC s’applique ?

Chez Altospam, nous avons fait le choix d’appliquer un sceau ARC sur tous les mails passant par notre filtrage Mailsafe comme figuré sur cette image.

Les résultats des protocoles d’authentification SPF, DKIM, DMARC sont accessibles depuis l’en-tête AAR, la signature permet d’en valider leur authenticité. Les serveurs de réception peuvent maintenant tenir compte d’ARC, pour vérifier l’authenticité des mails provenant de notre plateforme.

Chez M365, vous avez la possibilité de faire confiance à notre sceau ARC (https://learn.microsoft.com/fr-fr/defender-office-365/email-authentication-arc-configure?view=o365-worldwid), l’approbation du scellant ARC permettra de légitimer les mails passant par notre plateforme en validant l’authentification SPF, DKIM et DMARC du message transmis.