Как сообщение с подписью AR C гарантирует, что заголовки AR равны le git?

Question

Я пытаюсь обернуться вокруг политики AR C , и, насколько я понимаю, электронное письмо, прибывающее с заголовками AR C, означает, что предыдущие заголовки Authentication-Results были проверены отправителем. Или из Википедии:

Authenticated Received Chain (AR C) - это система аутентификации электронной почты, предназначенная для того, чтобы промежуточный почтовый сервер, такой как список рассылки или служба пересылки, мог подписывать оригинальные результаты аутентификации электронной почты. Это позволяет принимающей службе проверять электронную почту, когда записи почтового SPF и DKIM становятся недействительными в результате обработки промежуточным сервером.

Так, например, в качестве промежуточного, я получаю от кого-то письмо, что подписан с DKIM. Я проверяю SPF, DKIM и DMAR C, соответственно устанавливаю заголовки AR и оборачиваю их AR C (AAR / AS / AMS). Затем я изменяю тему, добавляя «[FWD] - {subject}», и отправляю ее с МОГО сервера, причем путь возврата совпадает с тем, который я получил от клиента, и для которого У меня нет политики SPF для отправки. .

Принимающая сторона, если она обрабатывает AR C, увидит, что сообщение было подписано и что исходный SPF / DKIM / DMAR C соблюден, и мой обратный путь, который теперь неверен (поскольку IP-адрес моего сервера не имеет права отправлять электронную почту с домена отправителя) по-прежнему принимается из-за AR C. DKIM, терпящий неудачу сейчас из-за смены предмета, также принимается из-за AR C.

Если я прав насчет моего понимания, пока это хорошо.

НО

Как получающая сторона может определить, что I le git?

На основе этой спецификации я могу полностью создать поддельное электронное письмо , сказав, что изначально SPF / DKIM / DMAR C уважали и обернули все AR C. Затем я могу отправить это электронное письмо, используя (поддельный) путь возврата, и сделать так, чтобы электронное письмо действовало независимо от его сбоя, потому что я подписался с AR C.

Я не думаю ( Я не надеюсь, что существует список «разрешенных» регистраторов, которым можно доверять при использовании AR C, и, как промежуточное звено, я должен зарегистрироваться здесь, потому что это нарушает саму фабрику c Inte rnet. (да).

Итак, мой вопрос заключается в следующем:

Как получающая сторона может считать, что отправитель, подписавший электронное письмо с AR C, является le git и может доверять - или нет?

Извините за длинное сообщение, вот картошка: ?

Answer 1

Как получающая сторона может считать, что отправитель, подписавший электронное письмо с AR C, является le git и ему можно доверять - или нет?

Вы правы, они не могут. AR C о расширении доверия , поэтому печать AR C не может быть использована в качестве доказательства передачи DKIM на предыдущее реле. Это лучше, чем ничего, и это очень помогает для доверенных ретрансляторов, таких как Google, но на самом деле это не помогает для неизвестных ретрансляторов, таких как некоторый сервер случайных рассылок.

Если вы не участвуете в генерации и поддерживая списки репутации (что означает, что вы, вероятно, участвуете в антиспамовом бизнесе), вы не можете автоматизировать это, поскольку печати AR C могут быть подделаны. Тем не менее, вы можете использовать его в качестве инструмента при ручном расследовании. Теоретически вы также можете расширить доверие к таким крупным сервисам, как Google и Yahoo.