ARC (Authenticated Received Chain)
Qu'est-ce que ARC (Authenticated Received Chain) ?
ARC (Authenticated Received Chain)Standard d'e-mail (RFC 8617) qui préserve les résultats d'authentification à travers les sauts de transfert : chaque intermédiaire signe cryptographiquement la chaîne des vérifications antérieures.
ARC (Authenticated Received Chain), spécifié dans le RFC 8617, résout un problème courant de DMARC : les transmetteurs légitimes (listes de diffusion, passerelles) modifient souvent les messages et cassent SPF/DKIM. Les intermédiaires compatibles ARC ajoutent trois en-têtes — ARC-Authentication-Results, ARC-Message-Signature et ARC-Seal — qui enregistrent les verdicts SPF/DKIM/DMARC observés et signent la chaîne cumulée. Le récepteur final peut faire confiance à une chaîne ARC issue d'un transmetteur vérifié et appliquer des dérogations locales plutôt que rejeter un message légitime. Google, Microsoft et Yahoo implémentent ARC. Les opérateurs valident les chaînes ARC, tiennent une liste de scelleurs de confiance et surveillent les altérations.
● Exemples
- 01
Une liste de diffusion réécrit l'en-tête From: et ajoute des en-têtes ARC pour que la destination conserve confiance dans le pass DMARC initial.
- 02
Une passerelle de messagerie sécurisée scelle la chaîne ARC après l'ajout d'un disclaimer pour permettre l'alignement DMARC en aval.
● Questions fréquentes
Qu'est-ce que ARC (Authenticated Received Chain) ?
Standard d'e-mail (RFC 8617) qui préserve les résultats d'authentification à travers les sauts de transfert : chaque intermédiaire signe cryptographiquement la chaîne des vérifications antérieures. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie ARC (Authenticated Received Chain) ?
Standard d'e-mail (RFC 8617) qui préserve les résultats d'authentification à travers les sauts de transfert : chaque intermédiaire signe cryptographiquement la chaîne des vérifications antérieures.
Comment fonctionne ARC (Authenticated Received Chain) ?
ARC (Authenticated Received Chain), spécifié dans le RFC 8617, résout un problème courant de DMARC : les transmetteurs légitimes (listes de diffusion, passerelles) modifient souvent les messages et cassent SPF/DKIM. Les intermédiaires compatibles ARC ajoutent trois en-têtes — ARC-Authentication-Results, ARC-Message-Signature et ARC-Seal — qui enregistrent les verdicts SPF/DKIM/DMARC observés et signent la chaîne cumulée. Le récepteur final peut faire confiance à une chaîne ARC issue d'un transmetteur vérifié et appliquer des dérogations locales plutôt que rejeter un message légitime. Google, Microsoft et Yahoo implémentent ARC. Les opérateurs valident les chaînes ARC, tiennent une liste de scelleurs de confiance et surveillent les altérations.
Comment se défendre contre ARC (Authenticated Received Chain) ?
Les défenses contre ARC (Authenticated Received Chain) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de ARC (Authenticated Received Chain) ?
Noms alternatifs courants : ARC, Chaîne de réception authentifiée.
● Termes liés
- network-security№ 333
DMARC
Standard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement.
- network-security№ 330
DKIM
Standard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés.
- network-security№ 1076
SPF (Sender Policy Framework)
Mécanisme d'authentification d'e-mail du RFC 7208 permettant à un domaine de publier dans le DNS quelles adresses IP ou quels hôtes sont autorisés à émettre du courrier avec son domaine dans le MAIL FROM d'enveloppe.
- network-security№ 984
Passerelle de messagerie sécurisée
Service périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.
- attacks№ 375
Usurpation d'e-mail
Falsification des en-têtes d'un e-mail pour qu'il semble provenir d'un expéditeur de confiance, généralement à des fins de phishing, fraude ou diffusion de malware.
- network-security№ 095
BIMI
Standard de messagerie qui permet d'afficher un logo de marque vérifié à côté des messages authentifiés dans les clients compatibles, à condition que le domaine applique une politique DMARC en quarantine ou reject.