ARC(已认证接收链)
ARC(已认证接收链) 是什么?
ARC(已认证接收链)RFC 8617 定义的邮件标准,通过让每个中间节点用密码学签署此前检查的结果,使认证结果在多次转发后仍可保留。
ARC (Authenticated Received Chain) 由 RFC 8617 规定,旨在解决邮件列表、安全网关等合法转发者修改邮件导致 SPF/DKIM 失效的典型 DMARC 问题。支持 ARC 的中间节点会插入三个头:ARC-Authentication-Results、ARC-Message-Signature 与 ARC-Seal,记录它们所见的 SPF/DKIM/DMARC 结论,并对累积链进行签名。最终接收方可以信任来自可信转发者的 ARC 链,在本地策略中放行原本会被拒收的合法邮件。Google、Microsoft、Yahoo 等主要邮箱提供商已实现 ARC。运维方需要验证 ARC 链、维护可信 ARC 签封者列表,并监控篡改或链路断裂。
● 示例
- 01
邮件列表重写 From: 并添加 ARC 头,使下游仍可信任最初的 DMARC 通过。
- 02
安全邮件网关在追加免责声明后对 ARC Seal 签名,使下游仍能完成 DMARC 对齐。
● 常见问题
ARC(已认证接收链) 是什么?
RFC 8617 定义的邮件标准,通过让每个中间节点用密码学签署此前检查的结果,使认证结果在多次转发后仍可保留。 它属于网络安全的 网络安全 分类。
ARC(已认证接收链) 是什么意思?
RFC 8617 定义的邮件标准,通过让每个中间节点用密码学签署此前检查的结果,使认证结果在多次转发后仍可保留。
ARC(已认证接收链) 是如何工作的?
ARC (Authenticated Received Chain) 由 RFC 8617 规定,旨在解决邮件列表、安全网关等合法转发者修改邮件导致 SPF/DKIM 失效的典型 DMARC 问题。支持 ARC 的中间节点会插入三个头:ARC-Authentication-Results、ARC-Message-Signature 与 ARC-Seal,记录它们所见的 SPF/DKIM/DMARC 结论,并对累积链进行签名。最终接收方可以信任来自可信转发者的 ARC 链,在本地策略中放行原本会被拒收的合法邮件。Google、Microsoft、Yahoo 等主要邮箱提供商已实现 ARC。运维方需要验证 ARC 链、维护可信 ARC 签封者列表,并监控篡改或链路断裂。
如何防御 ARC(已认证接收链)?
针对 ARC(已认证接收链) 的防御通常结合技术控制与运营实践,详见上方完整定义。
ARC(已认证接收链) 还有哪些其他名称?
常见的别称包括: ARC, 已认证接收链。
● 相关术语
- network-security№ 333
DMARC
RFC 7489 定义的邮件认证标准,域名所有者可发布策略告诉接收方如何处理 SPF/DKIM 失败或不对齐的邮件。
- network-security№ 330
DKIM
RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
- network-security№ 1076
SPF(发件人策略框架)
RFC 7208 定义的邮件认证机制,允许域名所有者在 DNS 中公开授权使用其域名作为信封 MAIL FROM 的 IP 地址或主机。
- network-security№ 984
安全邮件网关
位于网络边界或云端的服务,在邮件抵达用户邮箱前过滤入站和出站邮件中的垃圾邮件、钓鱼、恶意软件、数据泄漏和违规行为。
- attacks№ 375
电子邮件欺骗
伪造邮件头使邮件看似来自可信发件人,通常用于钓鱼、欺诈或投递恶意软件。
- network-security№ 095
BIMI
一项邮件标准,在支持的客户端中为通过认证的邮件展示经过验证的品牌徽标,前提是该域名启用 quarantine 或 reject 的 DMARC 策略。