Quando um e-mail é encaminhado, métodos padrão de autenticação como SPF, DKIM e DMARC geralmente falham porque o servidor de encaminhamento altera o envelope ou os cabeçalhos da mensagem. Isso pode fazer com que mensagens legítimas encaminhadas sejam marcadas como spam ou rejeitadas. ARC (Authenticated Received Chain) é um padrão de autenticação de e-mail que preserva os resultados originais de autenticação entre os saltos de encaminhamento. Este artigo explica o que são cabeçalhos ARC, como funcionam no Outlook e como você pode verificar se uma mensagem encaminhada é confiável.
Os cabeçalhos ARC permitem que cada servidor de e-mail intermediário que processa uma mensagem encaminhada adicione um selo de aprovação para os resultados de autenticação que recebeu. Ao examinar esses cabeçalhos no Outlook, você pode determinar se o e-mail passou nas verificações de autenticação antes de ser encaminhado. Este guia aborda o histórico técnico do ARC, instruções passo a passo para visualizar cabeçalhos ARC no Outlook e no Outlook na web, além de problemas comuns que você pode encontrar ao verificar a confiança de e-mails encaminhados.
Principais Conclusões: Como Verificar a Confiança de E-mails Encaminhados com Cabeçalhos ARC no Outlook
- Visualizar a origem da mensagem no Outlook para Windows (Arquivo > Propriedades > Cabeçalhos da Internet): Exibe a cadeia completa de cabeçalhos ARC para qualquer e-mail selecionado.
- Visualizar a origem da mensagem no Outlook na web (três pontos > Exibir > Exibir detalhes da mensagem): Mostra os cabeçalhos ARC em um painel lateral para mensagens encaminhadas.
- Verificar os cabeçalhos ARC-Authentication-Results e ARC-Seal: Confirme que o resultado de autenticação de cada salto foi assinado e validado pelo próximo servidor.
Por que os Cabeçalhos ARC são Importantes para a Confiança de E-mails Encaminhados
Os padrões de autenticação de e-mail SPF, DKIM e DMARC verificam se uma mensagem veio de um servidor autorizado para o domínio do remetente. No entanto, quando uma mensagem é encaminhada, o servidor de encaminhamento se torna o novo servidor de entrega. Isso quebra o SPF porque o endereço IP do encaminhador não corresponde ao registro SPF do remetente. As assinaturas DKIM também podem falhar se o encaminhador modificar o corpo ou o assunto da mensagem. As políticas DMARC que rejeitam ou colocam em quarentena e-mails não autenticados fazem com que mensagens encaminhadas sejam perdidas ou marcadas.
O ARC resolve isso criando uma cadeia de resultados de autenticação. Cada servidor que processa a mensagem adiciona três cabeçalhos ARC: ARC-Seal, ARC-Message-Signature e ARC-Authentication-Results. O cabeçalho ARC-Seal contém uma assinatura criptográfica que valida os resultados de autenticação do servidor anterior. Quando o servidor receptor final verifica essa cadeia, ele pode ver que a mensagem passou na autenticação em saltos anteriores, mesmo que o salto final não autentique completamente. O Outlook não exibe automaticamente o status do ARC, mas você pode inspecionar os cabeçalhos brutos para verificar a cadeia.
Como Visualizar Cabeçalhos ARC no Outlook para Windows
O Outlook para Windows armazena a origem completa da mensagem, incluindo cabeçalhos ARC, no campo Cabeçalhos da Internet. Você pode acessar esse campo através da caixa de diálogo de propriedades da mensagem. Este método funciona para Outlook 2016, 2019, 2021 e versões do Microsoft 365.
- Abra a mensagem em sua própria janela
Clique duas vezes no e-mail em sua caixa de entrada ou em qualquer pasta para abri-lo em uma janela separada. O painel de leitura com um único clique não expõe a caixa de diálogo de propriedades. - Abra a caixa de diálogo Propriedades
Clique em Arquivo no canto superior esquerdo da janela da mensagem. Em seguida, clique no botão Propriedades na faixa de opções. A caixa de diálogo Propriedades aparece com o campo Cabeçalhos da Internet na parte inferior. - Localize os cabeçalhos ARC
Na caixa de texto Cabeçalhos da Internet, role pelas linhas de cabeçalho. Procure linhas que começam com ARC-Seal, ARC-Message-Signature e ARC-Authentication-Results. Cada salto de encaminhamento adiciona uma instância numerada, como ARC-Seal: i=1 e ARC-Authentication-Results: i=1. O número mais alto é o salto mais recente. - Copie os cabeçalhos para análise
Selecione todo o texto do cabeçalho, pressione Ctrl+C para copiar e cole em um editor de texto. Isso permite examinar a cadeia mais facilmente e verificar as assinaturas, se necessário.
O que Procurar na Cadeia de Cabeçalhos ARC
Cada linha ARC-Authentication-Results mostra o método de autenticação usado naquele salto (spf, dkim, dmarc) e o resultado (pass, fail, neutral). Cada linha ARC-Seal inclui uma assinatura criptográfica criada pelo servidor que adicionou aquele salto. O servidor receptor valida se a assinatura ARC-Seal corresponde ao ARC-Message-Signature e ARC-Authentication-Results do salto anterior. Se qualquer assinatura na cadeia for inválida, toda a cadeia ARC falha. Uma cadeia ARC válida indica que a mensagem foi autenticada em cada servidor intermediário antes de chegar até você.
Como Visualizar Cabeçalhos ARC no Outlook na Web
O Outlook na web (OWA) fornece um painel de detalhes da mensagem que mostra os cabeçalhos completos da internet, incluindo cabeçalhos ARC. Este método funciona em caixas de correio do Microsoft 365 e Exchange Online.
- Abra a mensagem no Outlook na web
Faça login em sua conta do Outlook na web e clique no e-mail que deseja inspecionar. A mensagem abre no painel de leitura ou em uma nova janela, dependendo das suas configurações. - Abra o painel de detalhes da mensagem
Clique no menu de três pontos (Mais ações) na barra de ferramentas acima da mensagem. Selecione Exibir e depois Exibir detalhes da mensagem. Um painel lateral abre exibindo os cabeçalhos completos da internet. - Encontre os cabeçalhos ARC
Role pelo texto do cabeçalho no painel lateral. Procure as mesmas linhas de cabeçalho ARC descritas nas etapas do Outlook para Windows. Os cabeçalhos são listados em ordem cronológica, do salto mais antigo no topo ao mais novo na parte inferior. - Copie e analise os cabeçalhos
Clique no ícone de cópia no painel de detalhes da mensagem para copiar todo o bloco de cabeçalhos. Cole em um editor de texto para análise. Verifique cada linha ARC-Authentication-Results para resultados de aprovação e confirme se cada assinatura ARC-Seal está presente e formatada corretamente.
Problemas Comuns ao Verificar Cabeçalhos ARC no Outlook
Cabeçalhos ARC Ausentes
Se você não vir nenhum cabeçalho ARC na origem da mensagem, os servidores de envio ou encaminhamento não suportam o padrão ARC. Isso é comum em servidores de e-mail mais antigos ou pequenas organizações que não implementaram ARC. Nesse caso, você deve confiar em outros indicadores, como a reputação do remetente, o assunto e o conteúdo da mensagem para avaliar a confiança. O Outlook não gera cabeçalhos ARC; ele apenas exibe o que o servidor receptor fornece.
Cadeia ARC Mostra Falha ou Assinatura Inválida
Uma assinatura ARC-Seal inválida significa que um servidor na cadeia modificou a mensagem após a assinatura ser aplicada, ou a assinatura foi gerada incorretamente. Isso pode acontecer quando um servidor de encaminhamento modifica o corpo, o assunto ou os cabeçalhos da mensagem de uma forma que quebra o selo criptográfico. Uma cadeia ARC com falha não significa automaticamente que a mensagem é maliciosa, mas reduz o nível de confiança. Você deve tratar essas mensagens com cautela, especialmente se contiverem links ou anexos.
Outlook Não Exibe Status ARC na Interface
O Outlook para Windows e o Outlook na web não exibem um indicador visual de status ARC como fazem para resultados SPF, DKIM ou DMARC. Você precisa inspecionar manualmente os cabeçalhos da internet para ver as informações ARC. Essa limitação significa que a maioria dos usuários não notará falhas ARC a menos que procurem especificamente por elas. Complementos de terceiros ou gateways de segurança de e-mail podem fornecer visualizações de status ARC, mas não estão integrados ao Outlook.
Cabeçalho ARC vs DMARC: Principais Diferenças para E-mails Encaminhados
| Item | Cabeçalho ARC | DMARC |
|---|---|---|
| Propósito | Preservar resultados de autenticação entre saltos de encaminhamento | Definir política para e-mails não autenticados de um domínio |
| Aplica-se a | Mensagens encaminhadas | Todas as mensagens que alegam ser de um domínio |
| Falha ao encaminhar | Não — ARC foi projetado para sobreviver ao encaminhamento | Sim — SPF e DKIM geralmente falham após o encaminhamento |
| Visibilidade no Outlook | Visível apenas nos cabeçalhos da internet | Visível nos cabeçalhos da internet e às vezes em banners de segurança de e-mail |
| Status do padrão | RFC 8617 (padrão proposto) | RFC 7489 (padrão) |
ARC e DMARC têm papéis diferentes. O DMARC informa aos servidores receptores o que fazer quando a autenticação falha. O ARC informa que os resultados de autenticação eram válidos antes da mensagem ser encaminhada. Quando usados juntos, um e-mail encaminhado que falha no DMARC ainda pode ser confiável se a cadeia ARC estiver intacta. Muitos sistemas de segurança de e-mail agora verificam o ARC antes de aplicar políticas DMARC em e-mails encaminhados.
Agora você pode inspecionar cabeçalhos ARC no Outlook para Windows e no Outlook na web para verificar a confiabilidade de e-mails encaminhados. Comece verificando as linhas ARC-Authentication-Results para resultados de aprovação e confirmando que as assinaturas ARC-Seal formam uma cadeia válida. Para uma análise mais aprofundada, copie os cabeçalhos para um validador ARC online ou use uma ferramenta como o Get-MessageTrackingLog do PowerShell para rastrear o caminho completo. Lembre-se de que o ARC é tão confiável quanto os servidores que assinam a cadeia, portanto, sempre combine a inspeção ARC com outras práticas de segurança, como verificação de links e verificação do remetente.