• Spiegazione della rotazione delle chiavi DKIM: best practice, metodi e strumenti

Spiegazione della rotazione delle chiavi DKIM: best practice, metodi e strumenti

Blog

La rotazione delle chiavi DKIM è il processo di aggiornamento delle chiavi DKIM. La rotazione delle chiavi dovrebbe avvenire periodicamente: la frequenza non è importante, ma il processo sì.

di YunesTarada

Ultimo aggiornamento:
6 Tempo di lettura: 6 min
Spiegazione della rotazione delle chiavi DKIM: best practice, metodi e strumenti
Indice dei contenuti-

La rotazione delle chiavi DKIM è il processo di sostituzione delle chiavi crittografiche DKIM esistenti con nuove chiavi per mantenere la sicurezza delle e-mail. Sembra un concetto tecnico, ma l'idea è semplice: proprio come le password non dovrebbero rimanere sempre le stesse, anche le chiavi DKIM non dovrebbero.

La rotazione regolare delle chiavi DKIM aiuta a prevenire lo spoofing delle e-mail, il phishing e l'uso non autorizzato del tuo dominio. In questa guida spiegheremo cosa sono le chiavi DKIM, perché è importante la rotazione, con quale frequenza dovresti ruotarle e i modi più sicuri per farlo (manualmente o automaticamente).

Cosa sono le chiavi DKIM?

DKIM (DomainKeys Identified Mail) è un protocollo di autenticazione delle e-mail che verifica se un'e-mail proviene effettivamente dal dominio che dichiara di rappresentare.

Quando viene inviata un'e-mail, il server di invio la firma con una chiave crittografica privata. Una chiave pubblica corrispondente viene pubblicata nel DNS come record TXT. Quando il server di posta del destinatario riceve il messaggio, recupera la chiave pubblica dal DNS e la utilizza per convalidare la firma. Se la firma corrisponde, il messaggio viene confermato come autentico e non manomesso.

Questo processo rafforza la fiducia tra i server di invio e ricezione. Migliora inoltre il posizionamento nella casella di posta in arrivo e protegge i domini dall'usurpazione di identità. DKIM funziona insieme a SPF e DMARC, formando una difesa a più livelli contro lo spoofing e il phishing.

Ma la protezione crittografica non è una configurazione una tantum che puoi semplicemente dimenticare. Anche le chiavi devono evolversi.

Perché è fondamentale ruotare le chiavi DKIM

La rotazione delle chiavi DKIM consiste nel generare una nuova coppia di chiavi private/pubbliche e ritirare quella vecchia dopo un periodo di transizione sicuro. Ma perché è importante? Se un malintenzionato ottiene l'accesso alla tua chiave privata, può firmare e-mail fraudolente che sembrano legittime. Ciò può portare a:

  • Campagne di phishing dal tuo dominio
  • Falsificazione del marchio
  • Inserimento nella lista nera delle e-mail
  • Danni alla consegna

Più a lungo una chiave rimane attiva, maggiore è il rischio di esposizione. Anche se la chiave non viene compromessa, il riutilizzo a lungo termine aumenta la superficie di attacco. Ma non è tutto! C'è anche una ragione operativa: le chiavi obsolete (come quelle a 1024 bit) potrebbero non soddisfare più i moderni requisiti di sicurezza e compromettere l'affidabilità dell'autenticazione. Pertanto, la rotazione DKIM protegge sia la reputazione del tuo marchio che la tua infrastruttura di posta elettronica, aiutando le tue chiavi a rimanere moderne, aggiornate e sicure.

Con quale frequenza è necessario ruotare le chiavi DKIM?

Non esiste una regola universale, ma le migliori pratiche del settore suggeriscono:

  • Ogni 6-12 mesi per la maggior parte delle organizzazioni
  • Ogni 3-6 mesi per mittenti ad alta sicurezza o con volumi elevati
  • Immediatamente, se si sospetta un compromesso

Le organizzazioni che seguono le linee guida di gruppi industriali come il Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) spesso adottano politiche di rotazione annuale o semestrale.

Altrettanto importante è la lunghezza della chiave. Oggi si raccomanda un minimo di 2048 bit. Sebbene le chiavi a 1024 bit siano ancora tecnicamente supportate in alcuni sistemi, sono sempre più considerate deboli. Il passaggio a chiavi a 2048 bit rafforza la resilienza crittografica e si allinea agli standard moderni.

Metodi di rotazione delle chiavi DKIM

Esistono diversi modi per ruotare le chiavi DKIM, a seconda dell'infrastruttura e del livello di controllo.

1. Rotazione manuale della chiave DKIM

Puoi ruotare manualmente le tue chiavi DKIM di tanto in tanto creando nuove chiavi per il tuo dominio. Per farlo segui questi passi:

  • Vai al nostro strumento gratuito per la generazione di record DKIM
  • Inserite le informazioni sul vostro dominio e inserite il selettore DKIM desiderato.
  • Premi il pulsante "Genera
  • Copia la tua nuova coppia di chiavi DKIM
  • La chiave pubblica deve essere pubblicata sul tuo DNS, sostituendo il tuo record precedente
  • La chiave privata deve essere condivisa con il tuo ESP (se stai esternalizzando le tue email) o caricata sul tuo server email (se gestisci il trasferimento delle email in sede)

2. Delega della chiave DKIM del sottodominio

I proprietari di domini possono esternalizzare la rotazione delle chiavi DKIM permettendo a una terza parte di gestirla per loro. Questo avviene quando il proprietario del dominio delega un sottodominio dedicato a un fornitore di posta elettronica e chiede loro di generare una coppia di chiavi DKIM per loro conto. Questo permette ai proprietari di evitare il fastidio della rotazione delle chiavi DKIM esternalizzando la responsabilità a una terza parte.

Tuttavia, ciò può causare problemi di override dei criteri con le voci DMARC. Si consiglia di monitorare e rivedere le chiavi ruotate da parte dei controller di dominio per garantire una distribuzione senza problemi e senza errori.

3. Delega di chiave DKIM CNAME

CNAME sta per nome canonico, e sono record DNS che vengono utilizzati per puntare ai dati di un dominio esterno. La delega CNAME permette ai proprietari di domini di puntare alle informazioni dei record DKIM che sono mantenuti da qualsiasi terza parte esterna. Questo è simile alla delega di sottodominio, poiché il proprietario del dominio è solo tenuto a pubblicare alcuni record CNAME sul proprio DNS, mentre l'infrastruttura DKIM e la rotazione delle chiavi DKIM sono gestite dalla terza parte a cui il record punta.

Ad esempio,
"domain.com" è il dominio da cui devono essere firmate le e-mail in uscita, mentre "third-party.com" è il fornitore che gestirà il processo di firma.

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Il record CNAME sopra menzionato deve essere pubblicato nel DNS del proprietario del dominio.
Ora, s1.domain.com.third-party.com ha già un record DKIM pubblicato sul proprio DNS che può essere: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599…."

Queste informazioni saranno utilizzate per firmare le e-mail provenienti da domain.com.

Nota: è necessario pubblicare più record DKIM (consigliato: almeno 3 record CNAME) con selettori diversi sul proprio DNS per abilitare la rotazione delle chiavi DKIM. Ciò consentirà al proprio fornitore di passare da una chiave all'altra durante la firma e fornirà loro opzioni alternative.

4. Rotazione automatica della chiave DKIM

La maggior parte dei venditori di email e dei fornitori di servizi email di terze parti abilitano la rotazione automatica delle chiavi DKIM per i clienti. Per esempio, se stai usando Office 365 per instradare le tue email, sarai felice di sapere che Microsoft supporta la rotazione automatica delle chiavi DKIM per i suoi utenti di Office 365.

Abbiamo pubblicato un documento completo su come abilitare la rotazione delle chiavi DKIM per le e-mail di Office 365 nella nostra knowledge base.

Migliori pratiche per la rotazione delle chiavi DKIM

Ecco una breve lista di controllo da seguire:

  • Utilizzare chiavi di almeno 2048 bit
  • Ruotare ogni 6-12 mesi
  • Utilizza più selettori
  • Tenere un registro delle rotazioni
  • Provare le nuove chiavi prima di rimuovere quelle vecchie
  • Concedere un periodo di tolleranza durante la transizione
  • Coordinarsi con tutti gli ESP e i fornitori
  • Monitorare i rapporti DMARC dopo la rotazione

Le insidie più comuni e i modi per evitarle

Anche i team più esperti commettono errori. Ecco alcuni problemi comuni relativi alla rotazione:

Insidie comuni e come evitarle

1. Rimozione prematura delle vecchie chiavi

Prima di procedere alla cancellazione, attendere sempre che il DNS abbia completato la propagazione e che il flusso di posta sia stato completato. In questo caso, può essere utile configurare i report DMARC. È sufficiente generare un record DMARC e definire un tag "rua" con il proprio indirizzo e-mail per ricevere report giornalieri sullo stato e sui risultati dell'autenticazione.

2. Verifica saltata

Verifica sempre i risultati dell'autenticazione dopo aver abilitato un nuovo selettore. Puoi farlo manualmente o, preferibilmente, con l'aiuto di uno strumento di verifica DKIM per ottenere immediatamente chiarezza e approfondimenti.

3. Non utilizzare selettori multipli

Le configurazioni con selettore singolo comportano il rischio di tempi di inattività. Assicurati di definire selettori separati per i record DKIM separati configurati sul tuo dominio, in modo che i server di ricezione possano individuare facilmente le tue chiavi.

4. Delega configurata in modo errato

Record CNAME o sottodominio errati possono compromettere l'allineamento DKIM, quindi assicurati di verificare la configurazione ogni volta che apporti modifiche.

5. Ignorare la dimensione della chiave

Le chiavi obsolete a 1024 bit indeboliscono la sicurezza. Gli esperti raccomandano di configurare chiavi DKIM di almeno 2048 bit per una protezione avanzata e per conformarsi agli standard di sicurezza moderni.

Implementazione di una strategia di rotazione delle chiavi DKIM

Le chiamiamo le 3 D della rotazione delle chiavi DKIM:

Passaggio 1. Discussione: concordare con gli stakeholder e i fornitori la frequenza di rotazione, la dimensione della chiave (consigliata 2048 bit) e il metodo di delega.

Passaggio 2. Decidi: ora scegli il tuo modello di rotazione: manuale, delega CNAME, delega sottodominio o completamente automatizzato.

Passaggio 3. Distribuzione: infine, implementa in modo sicuro generando un nuovo selettore, monitora l'autenticazione e rimuovi le vecchie chiavi solo dopo la convalida.

Esempio di programma di rotazione

Gennaio: aggiungere nuovo selettore e chiave
Febbraio: passare alla firma con il nuovo selettore
Metà febbraio: rimuovere la vecchia chiave
Ripetere ogni 6-12 mesi

Riassunto

La rotazione delle chiavi DKIM è una componente fondamentale, ma spesso trascurata, della sicurezza delle e-mail. Lasciare le chiavi invariate per anni aumenta il rischio di esposizione e indebolisce il framework di autenticazione. In sintesi, la rotazione delle chiavi ogni 6-12 mesi, l'utilizzo della crittografia a 2048 bit, il mantenimento di più selettori e il monitoraggio dei risultati dell'autenticazione costituiscono le basi di una solida strategia di rotazione.

Per semplificare la rotazione e l'autenticazione delle chiavi DKIM, PowerDMARC può aiutarti! Il nostro team di esperti ha aiutato oltre 10.000 organizzazioni ad automatizzare la configurazione e la gestione dei protocolli, senza congetture né tempi di inattività. Contattaci oggi stesso per saperne di più o per iniziare!

Domande frequenti

1. La rotazione delle chiavi DKIM richiede tempi di inattività?

No. La rotazione delle chiavi DKIM non dovrebbe causare tempi di inattività se implementata correttamente. Introducendo un nuovo selettore e mantenendo attiva la vecchia chiave durante un periodo di tolleranza, le e-mail continuano ad essere autenticate normalmente durante la transizione.

2. Devo ruotare le chiavi DKIM per tutte le fonti di invio contemporaneamente?

Non necessariamente. Se utilizzi più provider di servizi di posta elettronica o server di posta interni, ogni fonte potrebbe avere una propria configurazione DKIM. La rotazione dovrebbe essere coordinata per ogni fonte di invio per evitare disallineamenti nell'autenticazione.

3. Per quanto tempo devo conservare la vecchia chiave DKIM dopo la rotazione?

In genere si consiglia di mantenere pubblicata la vecchia chiave per almeno 1-2 settimane dopo il passaggio a un nuovo selettore. Ciò tiene conto dei ritardi nella propagazione del DNS e delle e-mail in coda che potrebbero ancora fare riferimento alla firma precedente.

4. Le chiavi DKIM possono scadere automaticamente?

Le chiavi DKIM non scadono tecnicamente a meno che non vengano configurate in tal senso. I record DNS rimangono attivi fino a quando non vengono rimossi o sostituiti manualmente.

5. La rotazione delle chiavi DKIM è necessaria per la conformità DMARC?

DMARC non richiede esplicitamente la rotazione delle chiavi DKIM. Tuttavia, una rotazione regolare rafforza l'autenticazione complessiva delle e-mail e riduce il rischio di errori di allineamento DKIM causati da chiavi compromesse o obsolete.

Ultimi messaggi di Yunes Tarada (vedi tutti)
Ultimo aggiornamento:
Come unire i record SPF?Unire i record SPFSpiegazione della reputazione del mittente delle e-mailSpiegazione della reputazione del mittente delle e-mail