Correo. Inteligente. Eficaz.
Correo electrónico rápido y multiplataforma diseñado para filtrar el ruido.
Definición
💡 ARC (Authenticated Received Chain): Un protocolo de autenticación de correo electrónico que básicamente hace un seguimiento de lo que ocurre con tu mensaje a medida que pasa por distintos servidores. Cuando los correos se reenvían o son modificados por listas de correo, ARC conserva los resultados de autenticación originales para que los mensajes legítimos no se marquen como spam.
Por qué importa ARC
Este es el problema que resuelve: envías un correo electrónico que supera todas las comprobaciones de autenticación (SPF, DKIM, DMARC). Perfecto. Pero luego alguien lo reenvía a través del servidor de correo de su empresa, o pasa por una lista de correo que añade un pie de página. Esas modificaciones pueden romper las firmas de autenticación originales.
¿Qué pasa después? El servidor receptor ve un mensaje que afirma ser tuyo, pero que ya no supera la autenticación. Carpeta de spam. O peor aún, se rechaza por completo.
ARC soluciona esto creando una cadena de confianza. Cada servidor que maneja el mensaje añade su propia firma ARC, documentando que sí, este correo era legítimo cuando llegó aquí, aunque lo modificamos ligeramente antes de reenviarlo. Piensa en ello como una carrera de relevos en la que cada corredor firma que recibió el testigo legítimamente.
Según las directrices de Google para remitentes de correo, los correos reenviados tienen muchas más probabilidades de fallar las comprobaciones de autenticación sin ARC. Eso es mucho correo legítimo bloqueado.
¿Cómo funciona ARC?
El protocolo añade tres encabezados clave a tu correo electrónico a medida que pasa por los servidores:
ARC-Authentication-Results registra qué comprobaciones de autenticación se realizaron y si se superaron. Es como un boletín de notas que documenta que tu correo tenía DKIM y SPF válidos cuando llegó por primera vez a este servidor.
ARC-Message-Signature crea una firma criptográfica del contenido del mensaje en ese punto del recorrido. Esto demuestra que el mensaje no ha sido manipulado con fines maliciosos entre saltos (las pequeñas modificaciones para el reenvío son normales y esperables).
ARC-Seal lo une todo con otra firma que valida toda la cadena. Cada servidor añade su propio sello, creando una secuencia enlazada. Si algún eslabón de la cadena está roto o resulta sospechoso, los servidores receptores pueden detectarlo.
Ingeniosamente, la cadena está numerada. ARC-Seal: i=1, luego i=2, luego i=3. Los servidores receptores pueden verificar que no falte nada y que cada servidor intermedio legítimo haya autenticado correctamente el paso anterior.
Y, a diferencia de los protocolos más antiguos que se rompen cuando cambia el contenido, ARC espera modificaciones. Ese es precisamente el objetivo. Simplemente documenta que esos cambios ocurrieron en servidores de confianza, no por algún atacante que interceptó tu correo.
Configurar ARC
ARC requiere configuración tanto en los servidores intermedios (los que reenvían o modifican mensajes) como en los servidores receptores (los que validan la cadena ARC). La mayoría de los usuarios no necesitan hacer nada, a menos que administren su propia infraestructura de correo.
En Gmail:
Gmail valida las firmas ARC al recibir mensajes reenviados. Si reenvías correo a Gmail, el servidor intermedio debe añadir encabezados ARC. Si utilizas Google Workspace y reenvías correo a otros destinos a través de tus servidores, configura tus servidores de correo para que añadan encabezados ARC. Google ofrece orientación detallada en sus directrices para remitentes de correo para administradores que gestionan servicios de reenvío.
En Outlook:
Exchange Online admite la validación ARC, pero los administradores deben configurar selladores ARC de confianza. Ve al portal de Microsoft Defender y navega a Email & Collaboration > Policies & Rules > Threat policies > Email Authentication Settings > ARC. Añade los dominios de cualquier servicio intermedio que gestione tu correo (deben coincidir con la etiqueta 'd' en el encabezado ARC-Seal). Buenas noticias: las organizaciones de Microsoft 365 confían automáticamente en las firmas ARC de otras organizaciones de Microsoft 365, así que esa parte ya está resuelta.
En Spark:
Spark depende de la configuración de autenticación de correo electrónico establecida por tu proveedor de correo (Gmail, Outlook, servidor IMAP personalizado o cuentas EWS como Microsoft 365). Como cliente de correo electrónico, Spark no gestiona directamente la firma ni la validación de ARC. Eso ocurre a nivel del servidor antes de que los mensajes siquiera lleguen a tu bandeja de entrada.
Para servidores de correo personalizados:
Si administras tu propia infraestructura, tendrás que añadir compatibilidad con ARC a tu servidor SMTP. OpenARC es la implementación más común para Postfix y Sendmail. Tendrás que instalarlo, configurarlo para firmar el correo saliente y validar las cadenas entrantes, y añadir la configuración necesaria (similar a la de DKIM, pero sin necesidad de registros DNS para ARC).
¿La parte complicada? ARC solo ayuda si tanto los servidores intermedios como el servidor receptor final lo admiten. Si el destino no valida ARC, la cadena no importa. Pero la adopción está creciendo rápido. Gmail, Yahoo, Microsoft y la mayoría de los grandes proveedores ya validan cadenas ARC.
Buenas prácticas de ARC
Configura primero los protocolos básicos. ARC complementa SPF, DKIM y DMARC; no los sustituye. Configura esos métodos de autenticación antes de preocuparte por ARC. Sin una autenticación base adecuada, ARC no tiene nada útil que preservar.
Supervisa tus resultados de autenticación. La mayoría de los proveedores de servicios de correo electrónico ofrecen informes que muestran con qué frecuencia tus mensajes superan las comprobaciones de autenticación. Si estás viendo tasas altas de fallos en correos reenviados incluso con ARC, algo está mal configurado. Revisa tus encabezados.
Mantén seguras tus claves DKIM. ARC se basa en las firmas DKIM, así que si tus claves DKIM se ven comprometidas, la cadena ARC tampoco será fiable. Rota las claves periódicamente (cada seis a 12 meses es lo habitual).
Prueba escenarios de reenvío. Envía correos de prueba a través de listas de correo, servicios de reenvío y distintos clientes de correo electrónico para verificar que ARC funciona correctamente. Herramientas como MXToolbox pueden ayudarte a validar tu configuración y comprobar los encabezados.
Documenta tus selladores de confianza. Si estás configurando la validación ARC, mantén una lista de los servicios intermedios en los que confías. Revisa esta lista trimestralmente. Los servicios cambian de propietario, se ven comprometidos o dejan de funcionar. No confíes en firmas ARC de servicios que ya no utilizas.
Acepta que todavía no todo el mundo lo admite. Algunos proveedores de correo más pequeños aún no han implementado la validación ARC. Tus correos reenviados podrían seguir marcándose con ellos. Pero todos los grandes actores lo admiten, lo que cubre a la gran mayoría de tus destinatarios.
Términos relacionados