Inteligente. Focado. E-mail.
E-mail rápido e multiplataforma, projetado para filtrar o ruído.
Definição
💡 ARC (Authenticated Received Chain): Um protocolo de autenticação de e-mail que basicamente acompanha o que acontece com sua mensagem à medida que ela passa por diferentes servidores. Quando os e-mails são encaminhados ou modificados por listas de discussão, o ARC preserva os resultados originais de autenticação para que mensagens legítimas não sejam sinalizadas como spam.
Por que o ARC é importante
Aqui está o problema que ele resolve: você envia um e-mail que passa em todas as verificações de autenticação (SPF, DKIM, DMARC). Perfeito. Mas então alguém o encaminha pelo servidor de e-mail da empresa, ou ele passa por uma lista de discussão que adiciona um rodapé. Essas modificações podem quebrar as assinaturas de autenticação originais.
O que acontece depois? O servidor de recebimento vê uma mensagem que afirma ser sua, mas que não passa mais na autenticação. Pasta de spam. Ou pior, totalmente rejeitada.
O ARC corrige isso criando uma cadeia de confiança. Cada servidor que processa a mensagem adiciona sua própria assinatura ARC, documentando que sim, este e-mail era legítimo quando chegou aqui, mesmo que o tenhamos modificado levemente antes de encaminhá-lo. Pense nisso como uma corrida de revezamento em que cada corredor confirma que recebeu o bastão legitimamente.
De acordo com as diretrizes do Google para remetentes de e-mail, e-mails encaminhados têm uma probabilidade significativamente maior de falhar nas verificações de autenticação sem ARC. Isso significa que muitos e-mails legítimos acabam sendo bloqueados.
Como o ARC funciona?
O protocolo adiciona três cabeçalhos principais ao seu e-mail à medida que ele passa pelos servidores:
ARC-Authentication-Results registra quais verificações de autenticação foram realizadas e se elas foram aprovadas. É como um boletim que documenta que seu e-mail tinha DKIM e SPF válidos quando chegou pela primeira vez a este servidor.
ARC-Message-Signature cria uma assinatura criptográfica do conteúdo da mensagem naquele ponto da jornada. Isso prova que a mensagem não foi adulterada de forma maliciosa entre os saltos (pequenas modificações para encaminhamento são normais e esperadas).
ARC-Seal une tudo com outra assinatura que valida toda a cadeia. Cada servidor adiciona seu próprio selo, criando uma sequência encadeada. Se qualquer elo da cadeia estiver quebrado ou parecer suspeito, os servidores de recebimento podem identificar isso.
De forma inteligente, a cadeia é numerada. ARC-Seal: i=1, depois i=2, depois i=3. Os servidores de recebimento podem verificar que nada está faltando e que cada servidor intermediário legítimo autenticou corretamente a etapa anterior.
E, ao contrário de protocolos mais antigos que falham quando o conteúdo muda, o ARC espera modificações. Esse é justamente o ponto. Ele apenas documenta que essas mudanças aconteceram em servidores confiáveis, e não por algum invasor interceptando seu e-mail.
Configurando o ARC
O ARC exige configuração tanto nos servidores intermediários (os que encaminham ou modificam mensagens) quanto nos servidores de recebimento (os que validam a cadeia ARC). A maioria dos usuários não precisa fazer nada, a menos que administre sua própria infraestrutura de e-mail.
No Gmail:
O Gmail valida assinaturas ARC ao receber mensagens encaminhadas. Se você estiver encaminhando e-mails para o Gmail, o servidor intermediário deverá adicionar cabeçalhos ARC. Se você estiver usando o Google Workspace e encaminhando e-mails pelos seus servidores para outros destinos, configure seus servidores de e-mail para adicionar cabeçalhos ARC. O Google fornece orientações detalhadas em suas diretrizes para remetentes de e-mail para administradores que gerenciam serviços de encaminhamento.
No Outlook:
O Exchange Online oferece suporte à validação ARC, mas os administradores precisam configurar seladores ARC confiáveis. Acesse o portal do Microsoft Defender e navegue até Email & Collaboration > Policies & Rules > Threat policies > Email Authentication Settings > ARC. Adicione os domínios de todos os serviços intermediários que processam seu e-mail (eles devem corresponder à tag "d" no cabeçalho ARC-Seal). Boa notícia: as organizações do Microsoft 365 confiam automaticamente em assinaturas ARC de outras organizações do Microsoft 365, então essa parte já está resolvida.
No Spark:
O Spark depende das configurações de autenticação de e-mail definidas pelo seu provedor de e-mail (Gmail, Outlook, servidor IMAP personalizado ou contas EWS como o Microsoft 365). Como um cliente de e-mail, o Spark não lida diretamente com assinatura nem validação ARC. Isso acontece no nível do servidor, antes mesmo de as mensagens chegarem à sua caixa de entrada.
Para servidores de e-mail personalizados:
Se você administra sua própria infraestrutura, precisará adicionar suporte a ARC ao seu servidor SMTP. O OpenARC é a implementação mais comum para Postfix e Sendmail. Você vai instalá-lo, configurá-lo para assinar e-mails de saída e validar cadeias de entrada, além de adicionar a configuração necessária (semelhante à configuração do DKIM, mas sem necessidade de registros DNS para ARC).
A parte complicada? O ARC só ajuda se tanto os servidores intermediários quanto o servidor final de recebimento oferecerem suporte a ele. Se o destino não validar ARC, a cadeia não importa. Mas a adoção está crescendo rapidamente. Gmail, Yahoo, Microsoft e a maioria dos grandes provedores agora validam cadeias ARC.
Boas práticas de ARC
Configure primeiro os protocolos principais. O ARC complementa SPF, DKIM e DMARC; ele não os substitui. Configure esses métodos de autenticação antes de se preocupar com o ARC. Sem uma autenticação básica adequada, o ARC não tem nada útil para preservar.
Monitore seus resultados de autenticação. A maioria dos provedores de serviços de e-mail oferece relatórios mostrando com que frequência suas mensagens passam nas verificações de autenticação. Se você estiver vendo altas taxas de falha em e-mails encaminhados mesmo com ARC, algo está configurado incorretamente. Verifique seus cabeçalhos.
Mantenha suas chaves DKIM seguras. O ARC se baseia em assinaturas DKIM, portanto, se suas chaves DKIM forem comprometidas, a cadeia ARC também não será confiável. Faça a rotação das chaves periodicamente (a cada seis a 12 meses é o padrão).
Teste cenários de encaminhamento. Envie e-mails de teste por listas de discussão, serviços de encaminhamento e diferentes clientes de e-mail para verificar se o ARC está funcionando corretamente. Ferramentas como o MXToolbox podem ajudar a validar sua configuração e verificar os cabeçalhos.
Documente seus seladores confiáveis. Se você estiver configurando a validação ARC, mantenha uma lista dos serviços intermediários em que confia. Revise essa lista trimestralmente. Os serviços mudam de proprietário, são comprometidos ou são descontinuados. Não confie em assinaturas ARC de serviços que você não usa mais.
Aceite que nem todo mundo oferece suporte a isso ainda. Alguns provedores menores de e-mail ainda não implementaram a validação ARC. Seus e-mails encaminhados ainda podem ser sinalizados por eles. Mas todos os grandes players oferecem suporte a isso, o que cobre a vasta maioria dos seus destinatários.
Termos relacionados