Spiegazione della rotazione delle chiavi DKIM

Blog

La rotazione delle chiavi DKIM è il processo di aggiornamento delle chiavi DKIM. La rotazione delle chiavi dovrebbe avvenire periodicamente: la frequenza non è importante, ma il processo sì.

di YunesTarada

Ultimo aggiornamento:
Tempo di lettura: 5 min
Spiegazione della rotazione delle chiavi DKIM
Indice dei contenuti-

La rotazione delle chiavi DKIM è il processo di aggiornamento delle chiavi DKIM. La rotazione delle chiavi DKIM deve avvenire periodicamente: il periodo esatto non è importante, ma lo è il processo stesso. Perché si dovrebbe fare? La rotazione delle chiavi si riferisce alla creazione di nuove chiavi e all'aggiornamento dei record DNS con le nuove chiavi. Lo scopo della rotazione delle chiavi DKIM è simile al motivo per cui si cambiano periodicamente le password: è una misura di sicurezza che aiuta a evitare che gli aggressori impersonino il vostro dominio e inviino e-mail di spam o phishing.

Diamo un'occhiata al perché si usano le chiavi DKIM in primo luogo.

I punti chiave da prendere in considerazione

  1. DKIM verifica l'autenticità delle e-mail con un identificatore crittografato, impedendone la manomissione.
  2. La rotazione regolare delle chiavi DKIM protegge dagli aggressori che utilizzano chiavi rubate a scopo di frode.
  3. Le chiavi DKIM possono essere ruotate manualmente, delegate a terzi o automatizzate dai provider di posta elettronica.
  4. La mancata rotazione delle chiavi aumenta il rischio di phishing e spam da chiavi compromesse.
  5. Una buona strategia prevede la discussione dei programmi, la decisione sulle dimensioni delle chiavi e l'implementazione del processo di rotazione.

Perché si usano le chiavi DKIM?

DKIM sta per DomainKeys Identified Mail. È un modo per aggiungere un ulteriore livello di sicurezza al tuo server di posta elettronica in modo che le tue e-mail non vengano contrassegnate come spam e finiscano nelle cartelle di spam. Il modo migliore per pensare al DKIM è come un identificatore crittografato allegato ai tuoi messaggi in modo che i destinatari possano verificare che il messaggio sia stato effettivamente inviato da te, la persona che sostiene di provenire. Questo identificatore, o chiave, è ciò che permette loro di verificarlo.

Come funziona DKIM?

DKIM funziona aggiungendo questo identificatore ad ogni email che viene inviata. Quando qualcuno riceve una di queste e-mail, può controllare l'intestazione o il piè di pagina del messaggio e trovare una stringa di numeri e lettere, che è l'identificatore criptato o chiave DKIM. Prima che un'e-mail venga inviata al suo destinatario, il server di posta elettronica del mittente firma ogni e-mail con una firma digitale, che viene poi convalidata dal server di posta elettronica ricevente. Questo processo prova che l'e-mail non è stata manomessa o alterata in alcun modo. 

Quando invii la tua e-mail, la firma è allegata come intestazione alla fine del messaggio. I server dei destinatari usano le chiavi pubbliche (fornite dai proprietari dei domini attraverso i record DNS) per decifrare e verificare queste firme.

Perché la rotazione delle chiavi DKIM è importante per la sicurezza del vostro dominio

La rotazione delle chiavi DKIM avviene quando si inizia a usare una nuova coppia di chiavi private/pubbliche per firmare e autenticare i messaggi e poi si smette di usare la vecchia coppia di chiavi private/pubbliche.

Perché è importante? Se qualcuno riuscisse ad accedere alla vostra chiave privata, potrebbe utilizzarla per inviare e-mail fraudolente che sembrano provenire da voi! Per evitare questo tipo di attività dannose, è buona norma ruotare le chiavi DKIM ogni pochi mesi.

Per capire meglio l'importanza della rotazione delle chiavi DKIM, diamo un'occhiata a questo esempio: 

Diciamo che invii una campagna di email per una vendita natalizia nel tuo negozio. Usate le vostre chiavi DKIM per firmare le vostre email, ma se inviate abbastanza email usando la stessa coppia di chiavi nel tempo, i cattivi attori potrebbero alla fine intercettarne e decodificarne una, dato che ogni messaggio usa lo stesso algoritmo di hash crittografico. Una volta che hanno la tua chiave pubblica, possono iniziare a firmare le loro email di phishing con essa senza che tu lo sappia! Ecco perché la rotazione periodica delle chiavi DKIM è fondamentale per la sicurezza del tuo dominio.

Semplificate il DKIM con PowerDMARC!

Prova di 15 giorniPrenota una demo

Come potete ruotare le vostre chiavi DKIM?

1. Rotazione manuale della chiave DKIM

Puoi ruotare manualmente le tue chiavi DKIM di tanto in tanto creando nuove chiavi per il tuo dominio. Per farlo segui questi passi: 

  • Vai al nostro generatore di record DKIM gratuito generatore di record DKIM strumento
  • Inserite le informazioni sul vostro dominio e inserite il selettore DKIM desiderato. 
  • Premi il pulsante "Genera 
  • Copia la tua nuova coppia di chiavi DKIM 
  • La chiave pubblica deve essere pubblicata sul tuo DNS, sostituendo il tuo record precedente
  • La chiave privata deve essere condivisa con il tuo ESP (se stai esternalizzando le tue email) o caricata sul tuo server email (se gestisci il trasferimento delle email in sede) 

2. Delega della chiave DKIM del sottodominio

I proprietari di domini possono esternalizzare la rotazione delle chiavi DKIM permettendo a una terza parte di gestirla per loro. Questo avviene quando il proprietario del dominio delega un sottodominio dedicato a un fornitore di posta elettronica e chiede loro di generare una coppia di chiavi DKIM per loro conto. Questo permette ai proprietari di evitare il fastidio della rotazione delle chiavi DKIM esternalizzando la responsabilità a una terza parte. 

Tuttavia, ciò può causare problemi di override dei criteri con le voci DMARC. Si consiglia di monitorare e rivedere le chiavi ruotate da parte dei controller di dominio per garantire una distribuzione senza problemi e senza errori. 

3. Delega di chiave DKIM CNAME

CNAME sta per nome canonico, e sono record DNS che vengono utilizzati per puntare ai dati di un dominio esterno. La delega CNAME permette ai proprietari di domini di puntare alle informazioni dei record DKIM che sono mantenuti da qualsiasi terza parte esterna. Questo è simile alla delega di sottodominio, poiché il proprietario del dominio è solo tenuto a pubblicare alcuni record CNAME sul proprio DNS, mentre l'infrastruttura DKIM e la rotazione delle chiavi DKIM sono gestite dalla terza parte a cui il record punta. 

Per esempio, 

"domain.com" è il dominio da cui le email originarie devono essere firmate, e "third-party.com" è il fornitore che gestirà il processo di firma. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Il record CNAME di cui sopra deve essere pubblicato nel DNS del proprietario del dominio. 

Ora, s1.domain.com.third-party.com ha già un record DKIM pubblicato sul suo DNS che può essere: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Queste informazioni saranno utilizzate per firmare le e-mail provenienti da domain.com. 

Nota: È necessario pubblicare più record DKIM (consigliato: almeno 3 record CNAME) con selettori diversi sul proprio DNS per abilitare la rotazione delle chiavi DKIM. Ciò consentirà al fornitore di passare da una chiave all'altra durante la firma e di fornire loro opzioni alternative.

4. Rotazione automatica della chiave DKIM

La maggior parte dei venditori di email e dei fornitori di servizi email di terze parti abilitano la rotazione automatica delle chiavi DKIM per i clienti. Per esempio, se stai usando Office 365 per instradare le tue email, sarai felice di sapere che Microsoft supporta la rotazione automatica delle chiavi DKIM per i suoi utenti di Office 365. 

Abbiamo pubblicato un documento completo su come abilitare la rotazione delle chiavi DKIM per le e-mail di Office 365 nella nostra knowledge base

Vantaggi della rotazione automatica delle chiavi DKIM

  • Non devi fare nulla da parte tua se il tuo fornitore permette la rotazione automatica delle chiavi DKIM. Tutto è gestito da loro. 
  • Le configurazioni manuali sono soggette a errori umani.
  • La rotazione automatica dei tasti è rapida ed efficace e non richiede alcuna interferenza da parte vostra. 
  • Il sistema di gestione DKIM è completamente esternalizzato e gestito da una terza parte.

Implementare una strategia di rotazione delle chiavi DKIM

Lo chiamiamo il "3 D della rotazione delle chiavi DKIM":

  • Discutere 
  • Decidere
  • Distribuire 

Questo riassume un'efficace strategia di rotazione delle chiavi DKIM per i vostri domini. Quando vi avvalete di un qualsiasi servizio di terze parti per le vostre email e il vostro fornitore gestisce la rotazione per voi, assicuratevi di avere una discussione aperta e trasparente su quando e quanto frequentemente volete ruotare le vostre chiavi. Dovreste avere voce in capitolo per quanto riguarda le tempistiche così come la dimensione che volete usare per la vostra chiave selettiva (se volete usare 1024 bit o 2048 bit per una maggiore sicurezza). 

Una volta passata la fase di discussione, voi e il vostro fornitore dovete decidere insieme quale sia la vostra strategia e infine procedere all'implementazione della stessa.

Ultimi messaggi di Yunes Tarada (vedi tutti)
Ultimo aggiornamento:
Come unire i record SPF?Unire i record SPFSpiegazione della reputazione del mittente delle e-mailSpiegazione della reputazione del mittente delle e-mail