Smart. Concentrazione. Email.
Posta elettronica veloce e multipiattaforma progettata per filtrare i fastidi.
Definizione
💡 ARC (Authenticated Received Chain): un protocollo di autenticazione email che, in sostanza, tiene traccia di ciò che accade al tuo messaggio mentre passa attraverso server diversi. Quando le email vengono inoltrate o modificate dalle mailing list, ARC preserva i risultati di autenticazione originali così che i messaggi legittimi non vengano contrassegnati come spam.
Perché ARC è importante
Ecco il problema che risolve: invii un'email che supera tutti i controlli di autenticazione (SPF, DKIM, DMARC). Perfetto. Ma poi qualcuno la inoltra tramite il server email della propria azienda, oppure passa attraverso una mailing list che aggiunge un piè di pagina. Queste modifiche possono invalidare le firme di autenticazione originali.
Cosa succede dopo? Il server ricevente vede un messaggio che dichiara di provenire da te ma che non supera più l'autenticazione. Cartella spam. O peggio, viene rifiutato del tutto.
ARC risolve questo problema creando una catena di fiducia. Ogni server che gestisce il messaggio aggiunge la propria firma ARC, documentando che sì, questa email era legittima quando è arrivata qui, anche se l'abbiamo modificata leggermente prima di inoltrarla. Immaginalo come una staffetta in cui ogni corridore firma per confermare di aver ricevuto il testimone in modo legittimo.
Secondo le linee guida di Google per i mittenti di email, le email inoltrate hanno una probabilità significativamente maggiore di non superare i controlli di autenticazione senza ARC. Significa che moltissima posta legittima viene bloccata.
Come funziona ARC?
Il protocollo aggiunge tre intestazioni chiave alla tua email mentre passa attraverso i server:
ARC-Authentication-Results registra quali controlli di autenticazione sono stati eseguiti e se sono stati superati. È come una pagella che documenta che la tua email aveva DKIM e SPF validi quando è arrivata per la prima volta a questo server.
ARC-Message-Signature crea una firma crittografica del contenuto del messaggio in quel punto del percorso. Questo dimostra che il messaggio non è stato manomesso in modo malevolo tra un passaggio e l'altro (piccole modifiche per l'inoltro vanno bene e sono previste).
ARC-Seal lega tutto insieme con un'altra firma che convalida l'intera catena. Ogni server aggiunge il proprio seal, creando una sequenza collegata. Se un anello della catena è interrotto o sospetto, i server riceventi possono accorgersene.
In modo intelligente, la catena è numerata. ARC-Seal: i=1, poi i=2, poi i=3. I server riceventi possono verificare che non manchi nulla e che ogni server intermedio legittimo abbia autenticato correttamente il passaggio precedente.
E, a differenza dei protocolli più vecchi che si interrompono quando il contenuto cambia, ARC si aspetta delle modifiche. È proprio questo il punto. Si limita a documentare che quei cambiamenti sono avvenuti su server affidabili, non per opera di qualche attaccante che intercetta la tua posta.
Configurare ARC
ARC richiede una configurazione sia sui server intermedi (quelli che inoltrano o modificano i messaggi) sia sui server riceventi (quelli che convalidano la catena ARC). La maggior parte degli utenti non deve fare nulla, a meno che non gestisca la propria infrastruttura email.
In Gmail:
Gmail convalida le firme ARC quando riceve messaggi inoltrati. Se stai inoltrando posta a Gmail, il server intermedio dovrebbe aggiungere le intestazioni ARC. Se utilizzi Google Workspace e inoltri la posta tramite i tuoi server verso altre destinazioni, configura i tuoi server di posta in modo che aggiungano le intestazioni ARC. Google fornisce indicazioni dettagliate nelle linee guida per i mittenti di email per gli amministratori che gestiscono servizi di inoltro.
In Outlook:
Exchange Online supporta la convalida ARC, ma gli amministratori devono configurare i sealer ARC attendibili. Vai al portale Microsoft Defender, quindi vai a Email & Collaboration > Policies & Rules > Threat policies > Email Authentication Settings > ARC. Aggiungi i domini di tutti i servizi intermedi che gestiscono la tua posta (devono corrispondere al tag 'd' nell'intestazione ARC-Seal). Buone notizie: le organizzazioni Microsoft 365 si fidano automaticamente delle firme ARC di altre organizzazioni Microsoft 365, quindi questa parte è già gestita.
In Spark:
Spark si basa sulle impostazioni di autenticazione email configurate dal tuo provider di posta elettronica (Gmail, Outlook, server IMAP personalizzato o account EWS come Microsoft 365). Come client email, Spark non gestisce direttamente la firma o la convalida ARC. Questo avviene a livello di server, prima ancora che i messaggi raggiungano la tua casella di posta.
Per i server di posta personalizzati:
Se gestisci la tua infrastruttura, dovrai aggiungere il supporto ARC al tuo server SMTP. OpenARC è l'implementazione più comune per Postfix e Sendmail. Dovrai installarlo, configurarlo per firmare la posta in uscita e convalidare le catene in ingresso, e aggiungere la configurazione necessaria (simile, nello spirito, alla configurazione di DKIM, ma senza record DNS necessari per ARC).
La parte difficile? ARC aiuta solo se sia i server intermedi sia il server ricevente finale lo supportano. Se la destinazione non convalida ARC, la catena non conta. Ma l'adozione sta crescendo rapidamente. Gmail, Yahoo, Microsoft e la maggior parte dei principali provider ora convalidano le catene ARC.
Best practice per ARC
Configura prima i protocolli fondamentali. ARC integra SPF, DKIM e DMARC, non li sostituisce. Configura questi metodi di autenticazione prima di preoccuparti di ARC. Senza un'autenticazione di base corretta, ARC non ha nulla di utile da preservare.
Monitora i risultati dell'autenticazione. La maggior parte dei provider di servizi email offre report che mostrano con quale frequenza i tuoi messaggi superano i controlli di autenticazione. Se noti tassi elevati di errore nelle email inoltrate anche con ARC, c'è qualcosa di configurato male. Controlla le intestazioni.
Mantieni al sicuro le tue chiavi DKIM. ARC si basa sulle firme DKIM, quindi se le tue chiavi DKIM vengono compromesse, anche la catena ARC non è più affidabile. Ruota le chiavi periodicamente (ogni sei-dodici mesi è lo standard).
Testa gli scenari di inoltro. Invia email di prova attraverso mailing list, servizi di inoltro e diversi client email per verificare che ARC funzioni correttamente. Strumenti come MXToolbox possono aiutarti a convalidare la configurazione e controllare le intestazioni.
Documenta i tuoi sealer attendibili. Se stai configurando la convalida ARC, mantieni un elenco dei servizi intermedi di cui ti fidi. Rivedi questo elenco ogni trimestre. I servizi cambiano proprietà, vengono compromessi o cessano l'attività. Non fidarti delle firme ARC di servizi che non usi più.
Accetta che non tutti lo supportano ancora. Alcuni provider email più piccoli non hanno ancora implementato la convalida ARC. Le tue email inoltrate potrebbero ancora essere contrassegnate da loro. Ma tutti i grandi operatori lo supportano, e questo copre la stragrande maggioranza dei tuoi destinatari.
Termini correlati