问题标签 [arc-signature]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
email - ARC 签名消息如何确保 AR 标头是合法的?
我正试图围绕ARC 政策展开思考,据我了解,一封带有 ARC 标头的电子邮件意味着先前的 Authentication-Results 标头已由发件人验证。或者,来自维基百科:
Authenticated Received Chain (ARC) 是一种电子邮件身份验证系统,旨在允许邮件列表或转发服务等中间邮件服务器签署电子邮件的原始身份验证结果。这允许接收服务在电子邮件的 SPF 和 DKIM 记录被中间服务器处理无效时验证电子邮件。
例如,作为中间人,我收到了一封来自某人的电子邮件,该电子邮件是用 DKIM 签名的。我验证 SPF、DKIM 和 DMARC,相应地设置 AR 标头,并用 ARC (AAR/AS/AMS) 包装它们。然后,我将主题更改为添加“[FWD] - {subject}”,并从我的服务器发送,返回路径是我从客户端获得的路径,我没有 SPF 策略发送.
接收方,如果它处理 ARC,将看到消息已签名并且原始 SPF/DKIM/DMARC 得到尊重,以及我的返回路径,现在是错误的(因为我的服务器 IP 无权发送电子邮件来自发件人的域)仍然被接受,因为 ARC。由于 ARC,由于主题更改而导致的 DKIM 现在失败也被接受。
如果我的理解是正确的,到目前为止,这很好。
但
接收方如何定义我是合法的?
基于这个规范,我可以完全制作一个虚假的电子邮件,说最初,SPF/DKIM/DMARC 受到尊重并用 ARC 包裹整个。然后我可以使用(假的)返回路径发送这封电子邮件,并假设电子邮件是有效的,无论它是否失败,因为我已与 ARC 签署。
我不认为(我不希望)在使用 ARC 时可以信任的“允许”注册商列表,作为中间人,我需要在这里注册,因为这打破了互联网。(对)。
所以我的问题如下:
接收方如何认为与 ARC 签署电子邮件的发件人是合法的并且可以信任 - 或不?
对不起,长消息,这是一个土豆: