ARC (Authenticated Received Chain)
¿Qué es ARC (Authenticated Received Chain)?
ARC (Authenticated Received Chain)Estándar de correo (RFC 8617) que preserva los resultados de autenticación a través de saltos de reenvío permitiendo a cada intermediario firmar criptográficamente la cadena de comprobaciones previas.
ARC (Authenticated Received Chain), especificado en el RFC 8617, resuelve un problema habitual de DMARC: muchos reenviadores legítimos (listas de correo, pasarelas) modifican mensajes y rompen SPF/DKIM. Los intermediarios compatibles con ARC añaden tres cabeceras — ARC-Authentication-Results, ARC-Message-Signature y ARC-Seal — que registran los veredictos SPF/DKIM/DMARC observados y firman la cadena acumulada. El receptor final puede confiar en una cadena ARC de un reenviador conocido y aplicar excepciones locales en lugar de rechazar correo válido. Google, Microsoft y Yahoo implementan ARC. Los operadores deben validar las cadenas, mantener una lista de selladores ARC confiables y monitorizar manipulaciones o rupturas de cadena.
● Ejemplos
- 01
Una lista de correo reescribe el From: y añade cabeceras ARC para que el destino siga confiando en el pase DMARC original.
- 02
Una pasarela de correo seguro sella la cadena ARC tras añadir un aviso legal, permitiendo el alineamiento DMARC posterior.
● Preguntas frecuentes
¿Qué es ARC (Authenticated Received Chain)?
Estándar de correo (RFC 8617) que preserva los resultados de autenticación a través de saltos de reenvío permitiendo a cada intermediario firmar criptográficamente la cadena de comprobaciones previas. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa ARC (Authenticated Received Chain)?
Estándar de correo (RFC 8617) que preserva los resultados de autenticación a través de saltos de reenvío permitiendo a cada intermediario firmar criptográficamente la cadena de comprobaciones previas.
¿Cómo funciona ARC (Authenticated Received Chain)?
ARC (Authenticated Received Chain), especificado en el RFC 8617, resuelve un problema habitual de DMARC: muchos reenviadores legítimos (listas de correo, pasarelas) modifican mensajes y rompen SPF/DKIM. Los intermediarios compatibles con ARC añaden tres cabeceras — ARC-Authentication-Results, ARC-Message-Signature y ARC-Seal — que registran los veredictos SPF/DKIM/DMARC observados y firman la cadena acumulada. El receptor final puede confiar en una cadena ARC de un reenviador conocido y aplicar excepciones locales en lugar de rechazar correo válido. Google, Microsoft y Yahoo implementan ARC. Los operadores deben validar las cadenas, mantener una lista de selladores ARC confiables y monitorizar manipulaciones o rupturas de cadena.
¿Cómo defenderse de ARC (Authenticated Received Chain)?
Las defensas contra ARC (Authenticated Received Chain) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para ARC (Authenticated Received Chain)?
Nombres alternativos comunes: ARC, Cadena de recepción autenticada.
● Términos relacionados
- network-security№ 333
DMARC
Estándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento.
- network-security№ 330
DKIM
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
- network-security№ 1076
SPF (Sender Policy Framework)
Mecanismo de autenticación de correo del RFC 7208 que permite a un dominio publicar en DNS qué direcciones IP u hosts están autorizados a enviar correo con su dominio en el MAIL FROM del sobre.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.
- attacks№ 375
Suplantación de correo electrónico
Falsificación de las cabeceras de un correo para que parezca enviado por un remitente de confianza, habitualmente para phishing, fraude o malware.
- network-security№ 095
BIMI
Estándar de correo que permite mostrar un logo de marca verificado junto a los mensajes autenticados en clientes compatibles, siempre que el dominio aplique una política DMARC de quarantine o reject.