Proton
Per RSS abonnieren
What is Authenticated Received Chain (ARC)?

Was ist die Authentifizierte Empfangskette (ARC) und warum ist sie wichtig?

diese Seite teilen

ARC ermöglicht E-Mail-Anbietern die Echtheit von E-Mails zu überprüfen, wenn sie weitergeleitet oder von einer Mailingliste gesendet werden.

Wir alle haben mit Spam zu kämpfen, und jeder kann Opfer von Phishing werden. Und wenn du deine eigene E-Mail-Domain hast (wie @deinname.de), könnten Betrüger sie fälschen, um Spam- und Phishing-Angriffe zu starten.

Deshalb nutzen führende E-Mail-Anbieter Authentifizierungsmethoden wie SPF, DKIM und DMARC, um E-Mails zu verifizieren und gegen Spam, Spoofing und Phishing vorzugehen.

Aber diese Protokolle sind nicht unfehlbar. Erfahre, wie ARC ein grundlegendes Problem bei der E-Mail-Authentifizierung löst und die Zustellbarkeit sowie Sicherheit von E-Mails verbessert.

Was ist die Authentifizierte Empfangskette (ARC)?
Welches Problem löst ARC?
Was macht ARC?
Wie funktioniert ARC?
ARC E-Mail-Beispiel
Warum ARC verwenden?
Abschließende Gedanken
ARC FAQs

Proton Mail Button erhalten

Was ist die Authentifizierte Empfangskette (ARC)?

Die Authentifizierte Empfangskette (ARC) ist eine E-Mail-Authentifizierungsmethode, die es empfangenden Mailservern ermöglicht, die Authentifizierungsergebnisse einer E-Mail zu überprüfen, wenn sie von einem Zwischenserver weitergeleitet oder übermittelt wird.

Ein relativ neues Protokoll formalisiert in 2019(neues Fenster), hat ARC eine kleine, aber bedeutende Rolle in der Nachrichtenfilterung bei führenden E-Mail-Anbietern wie Proton Mail übernommen. Um ARC zu verstehen und warum es wichtig ist, musst du ein grundlegendes Problem der E-Mail-Authentifizierung begreifen.

Welches Problem löst ARC?

ARC löst ein spezifisches Problem der drei Haupt-E-Mail-Authentifizierungsmethoden:

DMARC überprüft SPF und DKIM

SPF überprüft, ob eine E-Mail von einer IP-Adresse gesendet wurde, die berechtigt ist, E-Mails vom Domain des Absenders zu senden.

DKIM überprüft kryptografisch, ob die Adresse des Absenders und der Inhalt der Nachricht auf dem Weg nicht verändert wurden.

Allerdings kannst du mit SPF und DKIM allein nicht sicher sein, dass die Absenderdomain im Von-Feld nicht gefälscht (gefälscht) wurde.

Daher wurde DMARC eingeführt, um sicherzustellen, dass die Domain in den DKIM- und SPF-Überprüfungen mit der Absenderdomain übereinstimmt. Es legt auch fest, wie E-Mail-Server mit einer Nachricht umgehen sollen, die sowohl bei DKIM als auch bei SPF durchfällt – akzeptieren, ablehnen oder als Spam markieren.

Mittlerweile von großen E-Mail-Anbietern wie Google, Microsoft und Proton weitgehend übernommen, hat DMARC die Zustellbarkeit von E-Mails, die durch SPF und DKIM authentifiziert wurden, deutlich verbessert.

Wo liegt also das Problem?

Zwischenstationen können DMARC unterbrechen

Wenn du eine E-Mail sendest, durchläuft sie verschiedene SMTP-Mailserver in einer Reihe von „Sprüngen“ von Absender A zu Empfänger B. Das Problem ist, dass DMARC davon ausgeht, dass E-Mails direkt von A nach B unverändert gesendet werden.

In Wirklichkeit können einige Zwischenmailserver eine Nachricht auf dem Weg legitim verändern, zum Beispiel:

  • Beim Weiterleiten: Der Weiterleiter kann die ursprüngliche Nachricht bearbeiten, oder der Server kann Felder im E-Mail-Header ändern.
  • Beim Senden über eine Mailingliste: Die Mailingliste kann den Betreff um den Namen der Liste ergänzen oder einen „Abmelden“-Link oder Disclaimer im Nachrichtenfooter hinzufügen.

Infolgedessen erscheinen diese legitimen E-Mails so, als wären sie manipuliert worden und können bei den DKIM-Überprüfungen durchfallen.

Ähnlich können Nachrichten, die von Weiterleitungs- oder Mailinglistenservern von einer neuen IP-Adresse gesendet werden, bei SPF durchfallen.

Und wenn eine Nachricht sowohl bei DKIM als auch bei SPF durchfällt, scheitert sie bei DMARC und wird entweder abgelehnt oder mit Misstrauen behandelt.

Diagramm zeigt E-Mail-Authentifizierung ohne ARC: wie Weiterleitungen DMARC brechen
E-Mail-Authentifizierung ohne ARC

Hier kommt ARC ins Spiel – um das Problem von Authentifizierungsfehlern zu lösen, die durch legitime Zwischenstationen verursacht werden.

Was macht ARC?

ARC bewahrt die ursprünglichen Authentifizierungsergebnisse vom ersten Sprung der E-Mail-Reise und überprüft die Identität jedes Zwischenservers auf dem Weg.

Wenn eine E-Mail durch einen vertrauenswürdigen Zwischenserver geht, signiert der Server die Nachricht digital und fügt diese ARC-Signatur dem E-Mail-Header hinzu. Bei jedem Sprung der Nachrichtenreise von A nach B fügen vertrauenswürdige Zwischenserver ihre Signatur hinzu und bilden so eine Kette von ARC-Signaturen.

Indem die „Kette des Gewahrsams“ oder die authentifizierte Empfangskette überprüft wird, kann der E-Mail-Server des Empfängers die ursprünglichen Authentifizierungsergebnisse einsehen. Er kann auch verifizieren, dass jegliche Veränderungen an der E-Mail auf dem Weg von einem vertrauenswürdigen Zwischenhändler signiert wurden.

Wie funktioniert ARC?

ARC fügt Nachrichten drei zusätzliche E-Mail-Header hinzu, um eine Vertrauenskette zurück zur ursprünglichen Nachricht zu erstellen.

Hier sind die drei ARC-Header und eine vereinfachte Erklärung dessen, was sie enthalten.

ARC-HeaderWas er enthält
ARC-Authentication-ResultsEine Kopie der Authentifizierungsergebnisse der E-Mail: SPF, DKIM und DMARC
ARC-Message-Signature Eine digitale Signatur ähnlich einer DKIM-Signatur, die die gesamte Nachricht und Header (außer dem ARC-Seal-Header) umfasst
ARC-SiegelEine DKIM-ähnliche Signatur, die die von jedem Zwischenserver generierten ARC-Header umfasst
Authentifizierte Received Chain-Header

So sehen ARC-Header in einer E-Mail-Überschrift aus:

Beispiel für die drei ARC-Header: ARC-Siegel, ARC-Nachrichtensignatur und ARC-Authentifizierungsergebnisse
Beispiel für ARC-Header

Wie Zwischenserver die Nachricht signieren

Bei jedem Schritt der Nachrichtenübermittlung fügt jeder Zwischenmailserver hinzu:

  • Kopiert die ursprünglichen Authentifizierungsergebnisse in einen neuen ARC-Authentifizierungsergebnisse-Header und fügt eine Sequenznummer beginnend mit i=1 hinzu (zeigt die Reihenfolge der Server an)
  • Erzeugt eine ARC-Nachrichtensignatur, inklusive der Sequenznummer
  • Erzeugt ein ARC-Siegel, welches die Echtheit des Beitrags jedes Zwischenservers zur ARC-Kette bestätigt

Auf diese Weise, wenn ein Zwischenemailserver eine Nachricht verändert, signiert er digital die Änderung, um zu bestätigen, dass sie legitim ist.

Wie der empfangende Server ARC validiert

Wenn der Mailserver des Empfängers sieht, dass eine Nachricht DMARC nicht bestanden hat, kann er das ARC-Ergebnis überprüfen, indem er:

  • Die Kette der ARC-Siegel-Header validiert
  • Die neueste ARC-Nachrichtensignatur validiert (basierend auf der Sequenznummer)

Wenn alle gültig sind, besteht die Nachricht ARC. Wenn der empfangende Server allen Zwischenservern in der ARC-Kette vertraut, kann der Server die Nachricht akzeptieren, auch wenn sie DMARC nicht bestanden hat.

Bei Proton akzeptieren wir derzeit nur Nachrichten, die DMARC nicht bestehen, von einer begrenzten Anzahl von Parteien, denen wir vertrauen, dass sie ARC korrekt implementieren. Wir setzen zwei Bedingungen:

  • Die Nachricht muss ARC bestehen, und
  • Die ARC-Authentifizierungsergebnisse müssen zeigen, dass die Nachricht DMARC beim ersten „Sprung“ bestanden hat, bevor sie weitergeleitet wurde.

ARC-E-Mail-Beispiel

Hier ist ein Beispiel dafür, wie ARC funktioniert: eine Nachricht, die an eine Mailingliste gesendet wird.

Diagramm, das zeigt, wie ARC mit einer Mailingliste funktioniert: wie ARC eine legitime Nachricht validiert, wenn DMARC fehlschlägt
ARC-E-Mail-Beispiel: Mailingliste

1. Du sendest deine E-Mail an eine Mailinglistenadresse (von einer veröffentlichten IP-Adresse eines E-Mail-Anbieters, zum Beispiel 185.70.40.111).

2. Der Zwischenserver der Mailingliste erhält die Nachricht und führt SPF-, DKIM- und DMARC-Überprüfungen durch. Die Nachricht besteht alle Überprüfungen.

3. Der Mailinglistenserver verändert nun den Inhalt, indem er den Namen der Mailingliste (zum Beispiel „Teammitglieder-News“) in die Betreffzeile und einen „Abmelden“-Link im Footer hinzufügt. Da sich der Inhalt geändert hat, fügt der Server ARC-Header zur Nachricht hinzu, um die Authentifizierungsergebnisse zu bewahren.

4. Der Mailserver des Empfängers erhält die Nachricht, aber sie fällt bei der Authentifizierung durch:

  • DKIM schlägt fehl, weil der Inhalt der Nachricht geändert wurde.
  • SPF schlägt fehl, weil die neue IP-Adresse (211.22.33.44) nicht im SPF-Eintrag enthalten ist.
  • DMARC schlägt ebenfalls fehl, da beide oben genannten durchgefallen sind.

5. Der Server überprüft die ARC-Ergebnisse und validiert die ARC-Kette.

6. Wenn der Server ARC validiert und alle ARC-Signaturen in der Kette von vertrauenswürdigen Parteien stammen, kann er das DMARC-Versagen übergehen und die Nachricht zustellen.

Warum ARC verwenden?

Die Vertrauenskette, die ARC schafft, bietet mehrere Vorteile für E-Mail-Anbieter und Nutzer.

Verbessert die Zustellbarkeit von E-Mails

Da ARC die ursprünglichen Authentifizierungsergebnisse bewahrt, wird sichergestellt, dass legitime E-Mails nicht als Spam markiert oder abgelehnt werden. Dies ermöglicht es E-Mail-Anbietern auch, eine strengere DMARC-Richtlinie festzulegen.

Stärkt die E-Mail-Sicherheit

ARC ermöglicht es empfangenden Mailservern, die Authentizität von E-Mails zu überprüfen, selbst wenn diese andere Authentifizierungstests nicht bestehen. Dies verringert das Risiko von E-Mail-Spoofing und Phishing-Angriffen.

Unterstützt die Fehlersuche bei E-Mails

ARC-Signaturen geben einen Nachweis über die Zwischenstationen auf der Reise einer E-Mail. Das kann Anbietern helfen, Probleme bei der E-Mail-Zustellung zu analysieren und zu lösen.

Abschließende Gedanken

Aufbauend auf die Authentifizierung durch SPF, DKIM und DMARC löst ARC das Problem von Authentifizierungsfehlern bei E-Mails, wenn diese weitergeleitet oder von Zwischenservern weitergegeben werden.

ARC ermöglicht es dem Server des Empfängers, legitime Nachrichten zu akzeptieren, die sonst abgelehnt oder als Spam markiert würden, wodurch die Zustellbarkeit und Sicherheit von E-Mails verbessert wird.

Bei Proton Mail ist ARC eines der Werkzeuge, die wir nutzen, um unsere Nachrichtenfilterung zu optimieren und dich vor Spam und Phishing-Angriffen zu schützen. Also mach mit und bleib sicher!

Erstelle dein Proton-Konto-Button

Häufig gestellte Fragen zur Authentifizierten Empfangskette (ARC)

Kann ARC anstelle anderer E-Mail-Authentifizierungsmethoden wie SPF, DKIM und DMARC verwendet werden?

Nein, ARC kann diese Methoden nicht ersetzen, sondern ergänzt sie. ARC bewahrt die Ergebnisse dieser Authentifizierungsprotokolle, während E-Mails von einem Zwischenserver zum nächsten weitergeleitet werden.

Setzen alle E-Mail-Anbieter ARC ein?

Nein, nicht alle. Erstmals 2019 eingeführt, ist ARC ein relativ neues Protokoll. Große E-Mail-Anbieter wie Gmail, Outlook und Proton Mail nutzen jedoch mittlerweile ARC zur Filterung von Nachrichten, und die Akzeptanz bei anderen Anbietern wächst.

Können ARC-Signaturen gefälscht oder verändert werden?

ARC-Signaturen verwenden Public-Key-Kryptografie(neues Fenster), um Manipulation und Fälschung zu verhindern. Wie bei jedem Sicherheitsprotokoll müssen sie jedoch korrekt implementiert werden, um unbefugten Zugriff auf die Verschlüsselungsschlüssel zu verhindern.

Insgesamt ist ARC sicher, wenn es korrekt konfiguriert ist, aber Zwischenserver können immer schädliche Inhalte in ARC-Header einfügen oder einige oder alle Header entfernen. ARC funktioniert nur, weil vertrauenswürdige Zwischenstellen die ARC-Kette signieren.

Bietet ARC Ende-zu-Ende-Verschlüsselung für E-Mails?

Nein, ARC wurde entwickelt, um Probleme bei der Authentifizierung von E-Mails zu adressieren, wenn diese von Zwischenservern weitergeleitet oder übermittelt werden. Für Ende-zu-Ende-Verschlüsselung benötigst du eine Verschlüsselungsmethode wie PGP.

Der einfachste Weg, um eine sichere E-Mail mit Ende-zu-Ende-Verschlüsselung und ARC zu erhalten, ist die Anmeldung bei Proton Mail.

Schütze deine Privatsphäre mit Proton
Kostenloses Konto erstellen

Verwandte Artikel

A cover image for a blog about how to create an incident response plan that shows a desktop computer and a laptop with warning signs on their screens
en
Do you have an incident response plan to protect your business from financial and reputational damage? Find out how Proton Pass for Business can help you stay safe.
Shared with me in Proton Drive for desktop user interface
en
  • Für Unternehmen
  • Produkt-Updates
  • Proton Drive
Sync shared files with the new Proton Drive for Windows
We've improved Proton Drive for Windows to make it easier to securely collaborate with others from your desktop.
Smart glasses that have been modified for facial surveillance and dox you in real time, finding your personal information after seeing your face.
en
Students modified smart glasses to find someone’s personal data after just looking at them. This is why we must minimize data collection.
The cover image for a blog explaining what password encryption is and how Proton Pass helps users with no tech experience benefit from it
en
Password encryption sounds complicated, but anyone can benefit from it. We explain what it is and how it’s built into Proton Pass for everyone to use.
How Proton can help with DORA compliance
en
We look at how DORA will affect your organization and how Proton’s services can help you meet its compliance requirements.
en
We searched the dark web for Spanish and Italian politicians’ official email addresses. Compared to other politicians, they’ve had fewer breaches.