Anmelden
CaptainDNS

Propagation & Diagnose

Vergleichen Sie öffentliche Resolver und analysieren Sie die gelieferten Antworten.

E-Mail-Authentifizierung

Werkzeuge zur Überprüfung und Validierung Ihrer E-Mail-Authentifizierung.

SPF-Syntax-Validator

Überprüfen Sie Include-Ketten, Mechanismenreihenfolge und das Limit von 10 DNS-Abfragen vor Änderungen.

SPF-Datensatz-Inspektor

Lösen Sie den veröffentlichten TXT-Eintrag auf, erkennen Sie Lookup-Limits und beleuchten Sie jeden Mechanismus.

DKIM-Syntax-Validator

Prüfen Sie schnell die Syntax Ihrer DKIM-Einträge.

DKIM-Datensatzprüfung

Lösen Sie einen Selector auf und analysieren Sie den veröffentlichten DKIM-TXT-Eintrag.

DMARC-Syntax-Validator

Prüfen Sie rua/ruf-Empfänger, Ausrichtungen und die aktive Richtlinie vor der Veröffentlichung.

DMARC-Datensatz-Inspektor

Lösen Sie die veröffentlichte Richtlinie auf, analysieren Sie Diagnosen und bestätigen Sie die Durchsetzung vor dem Reject-Rollout.

BIMI-Syntax-Validator

Prüft BIMI-Tags, Logodownload und VMC-Zertifikat vor der Veröffentlichung.

BIMI-Datensatz-Inspektor

Löst den veröffentlichten BIMI-Eintrag auf und analysiert Logo- und VMC-Diagnosen an einem Ort.

E-Mail-Zustellbarkeits-Audit

Prüfen Sie MX, SPF, DKIM und DMARC, um die Versandbereitschaft einer Domain zu bestätigen.

Mail-Header-Analyse

Dekodieren Sie Beteiligte, SPF/DKIM/DMARC-Ergebnisse und Routing anhand der Roh-Header.

DMARC-Datensatz-Generator

Erstellen Sie konforme DMARC-Einträge mit allen Richtlinien- und Berichtsoptionen.

Text

Transformieren, kodieren und messen Sie Inhalte in Sekunden.

Groß-/Kleinschreibung-Konverter

Wandeln Sie einen Textblock sofort in Klein- oder Großbuchstaben um.

Base64-Encoder / -Decoder

Kodieren oder dekodieren Sie Inhalte als Base64 direkt im Browser.

Slug-Generator

Wandeln Sie jede Überschrift in wenigen Sekunden in einen SEO-freundlichen Slug um.

Wort- & Zeichenzähler

Zählt sofort, wie viele Wörter und Zeichen ein Text enthält.

Bilder

Sehen Sie BIMI-Logos in der Vorschau und prüfen Sie sie vor der Veröffentlichung.

BIMI-Logo-Inspektor

Analysieren Sie die URL eines BIMI-Logos, sein Format, Metadaten und Rendering.

Zertifikate

Analysieren Sie CSR-Dateien, BIMI-Logos und VMC-Zertifikate vor dem Rollout.

CSR-Parser

Analysieren Sie einen CSR, lesen Sie Subject-Daten, Fingerprints und angeforderte SANs.

VMC-Inspektor

Prüfen Sie ein Verified Mark Certificate: ausstellende CA, Gültigkeit und SANs, bevor Sie BIMI veröffentlichen.

IP

Recherchieren Sie Adressen, Inhaber, Reverse-Einträge und Bereiche.

Reverse-Lookup

Lösen Sie einen PTR-Eintrag auf und prüfen Sie die DNS-Konsistenz.

IP-WhoIs

Ermitteln Sie den Inhaber eines IP-Bereichs und seine Kontakte.

IPv4-Netzmaske

Berechnen Sie Netzwerk, Broadcast und nutzbare Hosts für jeden IPv4-Block.

Meine IP-Adresse

Ermitteln Sie Ihre IPv4/IPv6-Adressen und deren Geostandort.

ARC: Vertrauen in eine E-Mail erhalten, wenn sie Zwischenstationen passiert

Von CaptainDNS
Veröffentlicht am 23. Oktober 2025

  • #E-Mail
  • #ARC
  • #SPF
  • #DKIM
  • #DMARC
  • #Sicherheit

Kurz gesagt: ARC (Authenticated Received Chain) ist ein Standard, mit dem Relays (Mailinglisten, Anti-Spam-Gateways, Weiterleitungen usw.) die von ihnen beobachteten Authentifizierungsergebnisse (SPF, DKIM, DMARC) bewahren und versiegeln können. Der Empfänger kann danach fundiert entscheiden, ob er der Nachricht vertrauen möchte, auch wenn SPF/DKIM nach einer Änderung oder Weiterleitung berechtigterweise fehlschlagen.

Diagramm: E-Mail-Fluss und ARC-Siegel an jedem Relay

Warum brauchen wir ARC?

Ohne ARC kann eine legitime Nachricht nach einer Weiterleitung abgelehnt werden:

  • SPF schlägt fehl, weil die sendende IP nun die des Relays ist.
  • Die ursprüngliche DKIM-Signatur kann ungültig werden, wenn das Relay Header oder Body verändert (Banner, Footer, Anti-Spam-Markierung).
  • Dadurch scheitert DMARC beim Empfänger, obwohl die E-Mail am Ursprung korrekt war.

ARC erlaubt dem Relay zu sagen: „Ich habe eine Nachricht erhalten, die SPF/DKIM/DMARC bestanden hat; hier sind meine Ergebnisse, und ich signiere sie.“
Der Zielserver untersucht die Kette der Siegel, um zu entscheiden, ob die E-Mail vertrauenswürdig bleibt.

Wie ARC funktioniert (Überblick)

An jedem Relay werden drei ARC-Header mit einem Index i=1, i=2, … ergänzt:

  1. ARC-Authentication-Results (AAR) — übernimmt die SPF/DKIM/DMARC-Ergebnisse aus Sicht des Relays.
  2. ARC-Message-Signature (AMS) — kryptografische Signatur der vom Relay gesehenen Nachricht (analog zu DKIM).
  3. ARC-Seal (AS) — ein Siegel, das das Gesamtpaket (AAR + AMS + vorherige Siegel) signiert, um das Vertrauen zu verketteten.

Die drei ARC-Header und ihre Rolle (AAR, AMS, AS)

Beispiel für ARC-Header (vereinfacht)

ARC-Seal: i=1; a=rsa-sha256; d=relay.example.net; s=arc1; cv=none; b=...
ARC-Message-Signature: i=1; a=rsa-sha256; d=relay.example.net; s=arc1; h=from:to:subject:date:message-id; bh=...; b=...
ARC-Authentication-Results: i=1; relay.example.net; spf=pass smtp.mailfrom=example.org; dkim=pass header.d=example.org; dmarc=pass header.from=example.org
  • i=: Position in der Kette (1 beim ersten Relay, danach +1 pro Hop).
  • d= / s=: Domain und Selector (wie bei DKIM), mit denen der öffentliche DNS-Schlüssel veröffentlicht wird.
  • cv= (in ARC-Seal): Chain Validation, die das Relay für die von ihm gesehene Kette angibt; übliche Werte sind none, pass, fail.
  • h=, bh=, b=: Standardfelder einer Signatur (Liste signierter Header, Body-Hash, Signatur).

„Ich sehe ARC-Header ohne Weiterleitung – ist das normal?“

Ja. Große Anbieter (Webmail, Kollaborationssuiten, Security-Gateways) signieren eingehende Nachrichten häufig standardmäßig mit ARC.
Ziele: einen internen Truth-Point setzen, den Weg der Nachricht durch die Infrastruktur nachverfolgen und spätere Weiterleitungen erleichtern, ohne Vertrauen zu verlieren.

Wie bewertet der Empfänger die ARC-Kette?

  1. Alle ARC-Message-Signature- und ARC-Seal-Signaturen prüfen, beginnend mit dem höchsten i.
  2. Kontinuität sicherstellen: kein fehlendes i; jedes Siegel muss die vorherigen abdecken.
  3. cv= beobachten im letzten ARC-Seal (die Einschätzung des Signierenden zur Kette).
  4. Mit DMARC abgleichen: schlagen die aktuellen SPF/DKIM fehl, entscheiden, ob den dokumentierten Ergebnissen vertrauenswürdiger ARC-Authentication-Results Glauben geschenkt wird.

Wichtig: ARC erzwingt nicht, eine Nachricht anzunehmen; es liefert verifizierbaren Kontext, damit der Empfänger präziser entscheiden kann.

Legende der Werte cv=none/pass/fail im ARC-Seal

Best Practices (Betreiberseite)

  • ARC auf Ihren Relays signieren und verifizieren (Listen, Aliasse, Security-Gateways).
  • Vorhandene ARC-Header beibehalten; gültige Siegel nicht entfernen.
  • Schlüssel verwalten (Rotation, DNS-TTL, Überwachung fehlerhafter Verifikationen).
  • Nach dem Versiegeln Änderungen minimieren (Banner, Umschreibungen) oder nach einer Änderung neu versiegeln.
  • DMARC-Entscheidungen protokollieren, die durch ARC beeinflusst werden, um den Effekt messen zu können.

Häufige Fehler

  • Einen ARC-Authentication-Results ohne ARC-Message-Signature und ARC-Seal hinzufügen.
  • Die Kette unterbrechen (doppelte/fehlende i, Siegel deckt den vorherigen Eintrag nicht ab).
  • Unbekannten d=-Domains blind vertrauen. Die Reputation des Signierenden ist relevant.

Häufig gestellte Fragen

Ersetzt ARC DKIM/DMARC?
Nein. ARC ergänzt SPF/DKIM/DMARC, indem es die von Relays beobachteten Ergebnisse erhält.

Wer kann ARC hinzufügen?
Jeder Transportvermittler (MTA, Gateway, E-Mail-Dienst), der die Nachricht handhabt.

Was bedeutet cv= genau?
Es ist die Aussage des Signierenden über den Zustand der von ihm gesehenen Kette: none (keine vorherige Kette), pass (konsistent und verifizierbar), fail (ungültige Kette). Der Empfänger führt trotzdem seine eigene Validierung durch.

Warum hat dieselbe Nachricht mehrere i=?
Jedes Relay erhöht i und fügt sein eigenes AAR/AMS/AS-Triplett hinzu.

Weiterführende Informationen

Spickzettel

  • Zweck: SPF/DKIM/DMARC-Ergebnisse über Relays hinweg bewahren und versiegeln.
  • 3 Header: ARC-Authentication-Results (Ergebnisse) + ARC-Message-Signature (Nachrichtensignatur) + ARC-Seal (Kettensiegel).
  • Entscheidung beim Empfänger: gültige Signaturen + Reputation des Signierenden + interne DMARC-Regeln.
Was ist ARC (Authenticated Received Chain)?