Email ARC签名消息如何确保AR标头合法？

我试着把我的头绕在这个问题上，据我所知，一封带有ARC头的电子邮件到达意味着以前的身份验证结果头已经被发件人验证过了。或者，从维基百科：

Authenticated Received Chain（ARC）是一种电子邮件身份验证系统，旨在允许中间邮件服务器（如邮件列表或转发服务）对电子邮件的原始身份验证结果进行签名。这允许接收服务在中间服务器的处理使电子邮件的SPF和DKIM记录无效时验证电子邮件

例如，作为一名中间人，我收到一封来自某人的电子邮件，该邮件由DKIM签名。我验证SPF、DKIM和DMARC，相应地设置AR头，并用ARC（AAR/AS/AMS）包装它们。 然后，我将subject更改为添加“[FWD]-{subject}”，并从我的服务器发送它，返回路径是我从客户端获得的路径，我没有要发送的SPF策略

接收方，如果处理ARC，将看到消息已签名，并且原始SPF/DKIM/DMARC已得到尊重，并且我的返回路径（因为我的服务器IP无权从发送方的域发送电子邮件）仍因ARC而被接受。 由于ARC，由于主题变更，DKIM现在失败也被接受

如果我的理解是对的，到目前为止，这是好的

但是

接收方如何定义我是合法的

基于这个规范，我完全可以伪造一封电子邮件，说最初，SPF/DKIM/DMARC受到尊重，并用ARC包装整个邮件。然后，我可以使用（假）返回路径发送此电子邮件，并确保该电子邮件有效，无论失败与否，因为我已与ARC签署

我不认为（我不希望）在使用ARC时有一个可以信任的“允许”注册者列表，作为中间人，我需要在这里注册，因为这破坏了互联网的结构。（是的）

因此，我的问题如下：

一个接收方怎么能认为，用ARC签署电子邮件的发送者是合法的并且可以被信任？ 很抱歉这么长的信息，这里有一个土豆：

一个接收方怎么能认为，用ARC签署电子邮件的发送者是合法的并且可以被信任？ 你说得对，他们不能。ARC是为了扩大信任，因此ARC封条本身不能作为DKIM通过前一个继电器的证据。它总比什么都没有好，它对像谷歌运行的可信中继非常有帮助，但对像随机邮件列表服务器这样的未知中继没有帮助

---

除非您参与生成和维护声誉列表（这意味着您可能参与了反垃圾邮件业务），否则您无法实现自动化，因为ARC封条可以伪造。但是，您可以将其用作手动调查中的工具。从理论上讲，你也可以将信任扩展到谷歌和雅虎等大型服务。

“扩展信任”让我很烦恼，因为这意味着拥有一份打破互联网核心的允许参与方名单。不应该有最喜欢的。据我所知，ARC无助于解决信任问题，它只是增加了复杂性，并希望依赖受信任的服务（又名大玩家）。是的，这会让你感到困扰。不幸的是，没有更好的解决办法，因为中间的中继可以从原始消息中改变任何东西。如果这更多的是关于保存加密签名，那么它仍然容易受到重播攻击（是的，DKIM SIG包含时间戳）。ARC确实有助于解决信任问题，但不是很好。你完全正确，自动化它只对大玩家有效，但它仍然有助于地方性的DMARC失败问题（可以手动列入白名单）和法医分析。好的，总之，这一点，加上必须在所有接收者实施ARC，才能转发带有无效SPF/DKIM的电子邮件（只要ARC在n-1级别上对其进行了验证），再加上这只意味着它对大玩家有用这一事实意味着对此没有真正的兴趣。至少到目前为止，这是一个结论，直到有人证明我是相反的。谢谢：）