Inizio
/
Supporto Email
/
Prevenzione SPAM
/
Cos'è DKIM e perché è importante?

Cos'è DKIM e perché è importante?

Questo tutorial riguarda i seguenti argomenti:

DKIM è una delle misure di sicurezza fondamentali per prevenire lo spoofing delle email. Aiuta i server di posta in arrivo a verificare la legittimità delle email in arrivo e a bloccare le email falsificate dall’arrivo nelle caselle di posta dei destinatari.

In questo articolo scoprirai cos’è DKIM, come funziona e come impostarlo per il tuo dominio.

Cos’è DKIM?

DKIM (DomainKeys Identified Mail) è un metodo di autenticazione delle email che utilizza le firme digitali per verificare che un’email sia stata inviata da un server autorizzato e non sia stata alterata durante il transito. Questo aiuta a prevenire lo spoofing delle email e garantisce l’integrità del messaggio.

Si basa sulla crittografia a chiave pubblica attraverso la quale viene creata una firma digitale. Questa firma fa parte degli header email e contiene parti crittografate dell’email. I destinatari possono confrontare questa firma con la chiave pubblica DKIM e verificare l’autenticità dell’email.

Di seguito, puoi vedere un’immagine degli header delle email contenenti una firma DKIM.

Intestazione email contenente una firma DKIM

 

DKIM si allinea con gli altri due metodi di autenticazione principali – SPF e DMARC. Tutti e tre i meccanismi contribuiscono alla sicurezza della posta elettronica e prevengono spoofing e phishing.

Perché DKIM è importante?

DKIM è vantaggioso in due aspetti chiave: aiuta a prevenire lo spoofing delle email e aumenta la velocità di consegna delle email.

In genere, i truffatori conducono lo spoofing delle email affermando di essere qualcun altro. Con DKIM, i destinatari possono verificare che un’email sia stata inviata dal proprietario del dominio effettivo, impedendo che le email falsificate arrivino nelle loro caselle di posta. Pertanto, DKIM aggiunge un ulteriore livello di sicurezza sia per i mittenti che per i destinatari.

D’altra parte, molti provider di servizi di posta elettronica impongono l’autenticazione DKIM per determinare se le email in arrivo sono legittime. Se le email vengono richieste e inviate dal proprietario del dominio ma mancano le chiavi DKIM, potrebbero comunque essere contrassegnate come spam dal server di posta del destinatario.

Pertanto, l’utilizzo di DKIM riduce la possibilità di avere email valide bloccate dai filtri antispam.

Cos’è un record DKIM?

Un record DKIM è un tipo di record DNS (Domain Name System) contenente una chiave pubblica. I destinatari possono verificare l’autenticità delle email in arrivo abbinando le loro firme digitali a questa chiave pubblica.

Il record DKIM è in genere un record TXT con la chiave pubblica inclusa nel valore del record. Il formato più comune del nome del record è

default._domainkey.tuodominio.com

Il prefisso “default” è chiamato DKIM selector, che può avere un nome diverso per i vari servizi di posta elettronica. Il prefisso “_domainkey” indica che il record DNS è DKIM e segue sempre il selettore DKIM.

Il valore del record è solitamente nel seguente formato:

"v=DKIM1; k=rsa; p=PUBLICKEY"

PUBLICKEY è un segnaposto per la chiave pubblica effettiva del record DKIM.

Qui puoi vedere il formato finale di un record DKIM TXT che appare nelle ricerche DNS.

DKIM record che appare in DNS lookup

 

Oltre a un record DNS TXT, il record DKIM potrebbe anche essere un record CNAME DNS. In questo caso, il valore del record DKIM è un indirizzo che porta a un server in cui i destinatari possono ottenere la chiave pubblica DKIM del dominio. Il record DKIM CNAME ha un indirizzo simile a questo:

dkim.server.com

Di seguito, puoi vedere come apparirebbe un record CNAME DKIM nei controlli DNS.

Record DKIM CNAME che appare nelle ricerche DNS

 

Il provider del servizio email determina il tipo di record DNS DKIM che devi aggiungere alla tua zona DNS.

Come funzionano i record DKIM?

Invio di un messaggio DKIM firmato

Quando DKIM è abilitato, ogni email che invii è firmata con una firma digitale. Questa firma contiene parti selezionate della mail che sono hash e crittografate con la chiave privata DKIM del server di posta elettronica.

Prima di inviare un’email, il server di posta in uscita aggiunge la firma alle intestazioni dell’email. È importante notare che DKIM non crittografa il messaggio di posta elettronica stesso, ma solo la firma digitale.

Verifica di un messaggio DKIM firmato

Quando un destinatario di posta elettronica riceve un’email, il suo server di posta elettronica può cercare la chiave pubblica associata al record DKIM del dominio dell’email. Il server di posta elettronica utilizza la chiave pubblica per verificare la firma della posta e decrittarla. Se la firma è valida, il destinatario può essere sicuro che l’email è stata inviata dal dominio da cui afferma di provenire e che non è stata modificata durante il transito.

In che modo DKIM impedisce lo spoofing del dominio?

Lo spoofing delle email è una tattica di truffa in cui gli aggressori inviano email impersonando marchi o individui affidabili. L’obiettivo finale è quello di ottenere la fiducia delle loro vittime e far sì che rivelino informazioni sensibili.

Tuttavia, poiché i truffatori non hanno accesso al server di posta autorizzato del dominio che impersonano, non possono utilizzare la chiave privata DKIM. Di conseguenza, le loro email non contengono una firma digitale valida che corrisponda alla chiave pubblica DKIM.

Pertanto, quando DKIM è abilitato, i destinatari possono verificare se un’email proviene dal server del dominio rivendicato controllando la firma contro la chiave pubblica del dominio dal record DNS DKIM. Il destinatario può concludere che l’email è contraffatta se la firma non corrisponde alla chiave pubblica.

Come aggiungo un record DKIM al mio dominio?

Il record DKIM è un record DNS che autorizza un server di posta elettronica a inviare email dal tuo dominio. Il tuo servizio di posta elettronica deve fornire i propri dettagli in modo da poterlo aggiungere alla zona DNS del tuo dominio. Il record DKIM potrebbe essere un record DNS TXT o CNAME.

Una volta ottenuto il record, devi accedere al pannello di controllo, dove gestisci la tua zona DNS. Se il tuo dominio punta ai nameservers di SiteGround, accedi a Site Tools > Dominio > Editor di zona DNS.

Come aggiungere un record TXT DKIM

Nella sezione Crea nuovo record, scegli TXT per aggiungere il record DKIM TXT.

Screenshot da Site Tools nella sezione Dominio, nella scheda Editor di zona DNS su come creare un nuovo record DKIM

 

Ogni record DKIM ha un identificatore distinto chiamato DKIM selector. È un prefisso del record DNS del tuo dominio seguito da un altro prefisso _domainkey. Entrambi devono essere inseriti nel campo Nome del record TXT nel formato:

DKIM selector._domainkey.tuodominio.com

In Site Tools, il dominio viene automaticamente aggiunto al nome del record. Quindi, quando digiti il nome, ometti il tuo nome di dominio e includi solo la parte DKIM selector._domainkey.

Nel campo Valore, inserisci il valore del record DKIM. Per confermare il record, fai click sul pulsante CREA.

Una volta creato, il record apparirà nel tuo editor di zona DNS.

Record DKIM TXT nell'editor di zona DNS

 

Come aggiungere un record CNAME DKIM

Se il record DKIM richiesto è di tipo CNAME, nella sezione Crea nuovo record, scegli CNAME.

Screenshot dell'editor di zona DNS in Site Tools su come creare un record CNAME DKIM

 

Nel campo Nome, inserisci il nome DKIM che è DKIM selector._domainkey. Proprio come i record TXT, lascia il tuo nome di dominio fuori dal nome del record CNAME. Viene aggiunto automaticamente al nome.

Nel campo Risolve a, aggiungi l’indirizzo del server DKIM. Premi CREA per confermare il record CNAME.

Una volta aggiunto il record, lo vedrai nella tua zona DNS.

Record DKIM CNAME nell'editor di zona DNS

 

Come attivare un record DKIM per il servizio email di SiteGround

Se il tuo dominio è indirizzato ai nameserver di SiteGround e utilizzi il servizio email di SiteGround, attivare DKIM è abbastanza semplice.

Il record DKIM è abilitato per impostazione predefinita e non è necessario eseguire alcuna operazione. Dovrai solo attivare il record DKIM nel caso in cui lo avessi disabilitato in precedenza o cancellato manualmente il record DKIM TXT.

Per controllare lo stato del record, vai a Site Tools > Email > Autenticazione. Nella sezione Impostazioni di autenticazione, seleziona DKIM. Sotto la colonna Stato, vedrai lo stato corrente come ATTIVO o INATTIVO.

Screenshot da Site Tools nella sezione "Email", tab "Autenticazione" per il controllo dello stato del record

 

Se il record è disabilitato, fai semplicemente click sul pulsante ATTIVA sotto la colonna Azioni. Il record DKIM verrà automaticamente aggiunto alla tua zona DNS e non saranno necessarie ulteriori azioni.

Screenshot da Site Tools nella sezione "Email", scheda "Autenticazione" per l'attivazione di un record DKIM

 

Come posso verificare se ho impostato DKIM correttamente?

Ci sono diversi modi per verificare se il tuo server firma le email con firme DKIM valide. È possibile ispezionare manualmente le intestazioni delle email o utilizzare i checker DKIM online.

Il modo manuale è quello di inviare un’email al tuo indirizzo e controllare gli header del messaggio ricevuto per vedere se la firma DKIM è presente e valida. Per i passaggi dettagliati, consulta questa guida su come visualizzare gli headers email su diversi client di posta elettronica.

Un’email con una firma DKIM valida dovrebbe contenere campi di intestazione simili a questi:

ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;

        h=message-id:references:in-reply-to:subject:to:from:date:mime-version

         :dkim-signature;

        bh=5rsMJhy76W3D/z8AJuih+X6wXiK/kovaUJAmSpGilNw=;

        b=T64jMkRn2Qxsf2VtXs5jDNcp/dTHWpfbcK8Y5nzz4md5uneJSc4VW52BRXMJIGxEq3

         vqyMgxIqPO/2xXodnRuKwh7/TTSo/oebaoFKVGXoVVxyzlTPoGokWpR9U057NTlFg4Pb

         JuZI7eF6QlbGGHXvFvqQJFFDWN5uOzzxDlmdLrARyWQfZSyWpyYW43XBJZlmMrnuequf

         4mOGCmcG9TZko46qDdYBr5GXMiQOqwZg48Zbo52YnI3kzgIlWWvPFyKJfG91cSeS+jQD

         aZZlnsDCcYgoIH2/IJAgDlHp+P/9E+XTg2WVRGwtpy0QPsWeLBwEKSTodw3bAQb2Wk0f

         NGTQ==

ARC-Authentication-Results: i=1; mx.google.com;

       dkim=pass header.i=@sg-testing.com header.s=default header.b=YW86hZW6;

In alternativa, puoi verificare se hai impostato DKIM correttamente utilizzando uno strumento online come quello fornito da MXToolBox. Questo può confermare che la chiave pubblica sia pubblicata correttamente nella tua zona DNS e che il tuo server di posta elettronica firmi correttamente i messaggi in uscita.

Screenshot dallo strumento online MXToolBox per il controllo della configurazione DKIM

 

Ci sono anche altri controlli come mail-tester.com. Su questo sito web, ti verrà chiesto di inviare una mail dall’indirizzo del tuo dominio a un indirizzo email di prova designato. Dopo aver inviato l’email, lo strumento genererà un report sullo stato di tutte le autenticazioni email utilizzate, incluso DKIM.

Screenshot dal controllore di posta online - mail-tester.com

 

Riepilogo

DKIM è un meccanismo di autenticazione email strumentale nel contrastare lo spoofing e il phishing delle email. Implementandolo per il tuo nome di dominio, impedisci ai truffatori di impersonare il tuo marchio e proteggi i tuoi destinatari da email falsificate.

È una caratteristica importante che ogni proprietario di dominio dovrebbe considerare di incorporare. Speriamo che questo articolo ti abbia aiutato a capire come funziona DKIM e come abilitarlo per il tuo servizio di posta elettronica.

Articoli correlati

Condividi questo articolo