ARC(Authenticated Received Chain)とは?
Microsoft 365を設定して久しぶりにメールヘッダーを見ていたら「ARC-*って何?」となって調査したときの覚書。
1.ARCとは?
ARCは中継メールサーバーを経由したメールの信頼性担保の仕組み。
Authenticated Received Chainの略。
Gmailは2017年5月、
Microsoft 365(Exchange)は2019年10月
にARC対応開始。
参考サイト
- Authenticated Received Chain - Wikipedia
- Microsoft “enabled” ARC in Office 365 – ARC Specification for Email
- ARC について | なりすまし対策ポータル ナリタイ
- 送信ドメイン認証まとめ(SPF、DKIM、DMARC、ARC)(+BIMI) - 朝から昼寝
DKIMとSPFだけだと、メーリングリストのように中継メールサーバーが件名を改変して再配信を行う場合、受け取ったユーザーは正規の送信者からのメールだと検証できない。
送信元が中継メールサーバーになるのでSPF検証が失敗する。
メールの件名を改変しているのでDKIM検証も失敗する。
SPFとDKIMが失敗しているので、赤の他人が送信者と偽ってメール送信していると判断。
他にはウイルス対策でメールをスキャンし、本文を変更する場合も同様。
そのため中継サーバーごとにARC-*で検証結果を記録していく仕組み。
2.最初の送信時にARC署名はいらない?
最初にARC署名する必要はない。
GmailやMicrosoft Exchangeは最初からARC署名している。
参考: ARC認証の整理しておきたいポイント - 朝から昼寝
ARC署名が受信者の郵便ポストへ届くまでに追加した配送拠点のサインだと考えると、最初のメールサーバーでARC署名しておく方が分かりやすいと思う。ただしARC対応するメリットはない。
ARCまでいったならDMARCもやっておいた方がいい。
ARCは「認証の連鎖」なので、最初に署名されていないと意味がない。
メール送信サーバーは「私が今から送り出すこのメールは、SPFとDKIMの観点から見て完璧に正当な状態です。私がそれを保証します」とARCに付与する。
これが経路全ての信頼の起点になる。
逆にいうと、SPFとDKIMを正しく設定していないメールサーバーでARC情報を付与してメール送信すると、迷惑メールと判定されやすくなる。
【関連記事】
- Microsoft 365 ExchangeにDKIMを設定
- 送信ドメイン認証のDMARCを設定
- PostfixにDKIMを設定して送信メールサーバーの信頼度を上げる
- PostfixにSPFとDKIMと暗号化の設定まとめ