DomainKeys vs. DKIM: qual è la differenza?
di
Ultimo aggiornamento:
Tempo di lettura: 6 min
I punti chiave da prendere in considerazione
- Yahoo ha introdotto DomainKeys nel 2004 per verificare l'identità del dominio del mittente e ridurre le e-mail contraffatte.
- DKIM (DomainKeys Identified Mail) è stato standardizzato dall'IETF nella RFC 4871 (2007), unendo DomainKeys di Yahoo e Identified Internet Mail di Cisco in un unico standard aperto.
- DKIM consente ai mittenti di firmare un hash canonicalizzato di intestazioni e contenuti del corpo selezionati, garantendo l'integrità del messaggio anche quando si verificano modifiche non critiche (come i cambiamenti degli spazi bianchi).
- I selettori in DKIM semplificano la rotazione delle chiavi e consentono di utilizzare più chiavi per servizi diversi.
- DKIM convalida che un'e-mail sia stata autorizzata dal dominio elencato nella firma e che il suo contenuto non sia stato alterato durante il transito.
- Il DKIM contribuisce ai controlli di allineamento del DMARC, aiutando i proprietari dei domini ad applicare le politiche anti-spoofing.
DomainKeys e DKIM sono due tecnologie di autenticazione delle e-mail correlate ma distinte, progettate per proteggere da spoofing, phishing e spam. DomainKeys, introdotto da Yahoo nel 2004, è stato il primo passo verso la convalida dell'autenticità del mittente tramite firme crittografiche. Tuttavia, aveva una flessibilità e un'adozione limitate. DKIM si è evoluto da DomainKeys e da Identified Internet Mail di Cisco per diventare una soluzione standardizzata e ampiamente adottata. Oggi, DKIM è la pietra miliare della comunicazione sicura via e-mail, in quanto garantisce che i messaggi rimangano autentici e inalterati durante la trasmissione e supporta DMARC per l'applicazione dei criteri.
Che cos'era DomainKeys (DK)?
DomainKeys è stato un primo protocollo di autenticazione delle e-mail sviluppato e rilasciato da Yahoo nel 2004. Il suo obiettivo era molto semplice, diretto e ammirevole: verificare l'identità del dominio del mittente e ridurre il numero crescente di spam, phishing e email contraffatte.
Ecco come funzionava DomainKeys. Utilizzava un semplice schema di firma che applicava firme crittografiche all'intero messaggio. Anche se si trattava di un passo avanti, mancava ancora di flessibilità nella selezione delle intestazioni e veniva facilmente interrotto da inoltri o modifiche alle mailing list. A causa di queste limitazioni, alla fine è stato sostituito da DKIM e deprecato.
Svantaggi di DomainKeys
Ecco alcuni motivi per cui DomainKeys ha dovuto essere sostituito:
- Era proprietario: Era uno standard proprietario di Yahoo e non ha mai ottenuto una standardizzazione IETF diffusa.
- Non aveva un meccanismo di selezione: Mancava di "selettori", il che significa che un dominio poteva utilizzare una sola chiave pubblica. Questo rendeva estremamente difficile la rotazione delle chiavi e la gestione di diversi servizi di invio di e-mail.
- Le firme erano piuttosto fragili: Il metodo di firma era molto rigido. Le firme si rompevano quasi sempre se l'e-mail veniva inoltrata o leggermente modificata da una mailing list.
- Aveva una flessibilità limitata: Offriva pochissime opzioni per gli algoritmi di firma e la canonicalizzazione (cioè, il modo in cui l'e-mail viene elaborata prima della firma).
Introduzione al DKIM (DomainKeys Identified Mail)
DKIM, o DomainKeys Identified Mail, è un protocollo di autenticazione delle e-mail che consente ai mittenti di impedire che il contenuto delle e-mail venga manipolato durante la consegna. DKIM è nato da una collaborazione tra Yahoo e Cisco nel 2004-2005 ed è diventato uno standard IETF nel 2007 (RFC 4871).
Funziona aggiungendo una firma digitale all'intestazione del messaggio. Non appena il destinatario riceve l'e-mail firmata DKIM, controlla la firma per verificare che sia valida. Se è valida, sa che il messaggio è stato trasmesso intatto e non è stato manipolato da hacker.
Ecco un esempio di firma DKIM:
Firma DKIM: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:subject:date; bh=abc123...; b=xyz456...
Come funziona il DKIM
DKIM si basa su una coppia di chiavi crittografiche: una chiave privata e una chiave pubblica. Queste chiavi sono essenziali per garantire che un'e-mail sia autentica e non sia stata alterata.
Quando viene inviata un'e-mail, il server di posta del mittente utilizza la chiave privata per creare una firma digitale. Questa firma viene aggiunta all'e-mail nell'intestazione DKIM, una parte speciale dell'e-mail che contiene la firma stessa insieme a informazioni sul dominio di firma, sull'algoritmo utilizzato e su quali intestazioni sono state incluse nella firma.
Quando l'e-mail raggiunge il destinatario, il suo server di posta recupera la chiave pubblica dal DNS del mittente. Il server utilizza quindi questa chiave pubblica per controllare l'intestazione DKIM e verificare che la firma corrisponda al messaggio. In caso affermativo, l'e-mail viene confermata come autentica e inalterata.
In breve: l'intestazione DKIM porta la firma, la chiave privata la genera e la chiave pubblica la verifica, proteggendo sia l'integrità che l'autenticità delle e-mail.
Innovazione chiave: L'innovazione chiave di DKIM rispetto a DomainKeys è stata l'introduzione di firme crittografiche standardizzate e flessibili con selettori e una robusta canonicalizzazione per un'autenticazione affidabile basata sul dominio.
DomainKeys vs DKIM: le principali differenze
La differenza è di sole due lettere nell'acronimo, ma fa un'enorme differenza. DKIM è nato per risolvere i limiti dei DomainKeys.
1. Standardizzazione e adozione
- DomainKeys: Era proprietario e guidato da Yahoo e la sua adozione è stata piuttosto limitata; oggi è completamente obsoleto. completamente obsoleto.
- DKIM: Si tratta di uno standard standard IETF aperto. Questa neutralità e superiorità tecnica sono diventate le ragioni principali per cui tutti i principali provider di posta elettronica, compresi Google e Microsoft, lo hanno adottato.
2. Flessibilità della firma
- DomainKeys: Firmava intestazioni specifiche e l'intero corpo del messaggio, il che spesso causava la rottura della firma se i messaggi venivano modificati durante il transito.
- DKIM: L'hash del corpo e la canonicalizzazione di DKIM lo rendono più tollerante alle piccole modifiche di formattazione, anche se l'inoltro o le modifiche alle mailing list possono ancora rompere le firme. Permette al mittente di scegliere esattamente quali intestazioni firmare (h= ). Inoltre, firma un hash del corpo del messaggio (bh= ), che è più resistente a modifiche minori come l'inoltro. Utilizza anche la canonicalizzazione (c= ) per definire come vengono trattate le modifiche ai messaggi, come gli spazi bianchi.
3. Gestione delle chiavi e selettori
- DomainKeys: Mancava il meccanismo del selettore, costringendo tutti i messaggi di un dominio a usare una singola chiave pubblica, complicando la rotazione e la gestione delle chiavi.
- DKIM: Ha introdotto il concetto di "selettori". Un selettore è un nome che punta a un oggetto specifico chiave pubblica nel proprio DNS. Ciò consente di:
- Utilizzate chiavi diverse per servizi diversi, sia per Google Workspace che per la vostra piattaforma di marketing, ecc.
- Ruotare le chiavi per garantire la sicurezza senza interrompere il flusso della posta.
Se si ha bisogno di aiuto per creare il proprio record DKIM, si può usare un generatore gratuito di record DKIM per assicurarsi che la sintassi sia corretta.
4. Sicurezza e integrità
- DomainKeys: Era incentrato sull'autenticità del mittente.
- DKIM: Il controllo dell'hash del corpo (bh=) conferma che il contenuto dell'e-mail non è stato alterato da quando è stata firmata.
DomainKeys vs DKIM: tabella di confronto
| Caratteristica | DomainKeys (DK) | Posta identificata come dominio (DKIM) |
|---|---|---|
| Sviluppato da | Yahoo (proprietario) nel 2004 | Sforzo congiunto di Yahoo e Cisco, successivamente standardizzato dall'IETF. Introdotto nel 2007 (RFC 4871), aggiornato in RFC 6376 (2011). |
| Scopo | Autenticare il dominio del mittente per ridurre i messaggi di posta elettronica contraffatti e lo spam. | Autenticare il dominio del mittente e garantire l'integrità del messaggio |
| Nome del campo dell'intestazione | Firma della chiave di dominio: | Firma DKIM: |
| Meccanismo del selettore | Non supportato | Supportato (selector._domainkey.example.com) |
| Gestione delle chiavi | Un'unica chiave per l'intero dominio | Tasti multipli tramite selettori; facile rotazione dei tasti |
| Ambito di firma | L'intero corpo del messaggio e alcune intestazioni | Intestazioni specifiche scelte dal mittente (h= tag) e corpo del messaggio con hash (bh= tag) |
| Opzioni di canonicalizzazione | Di base o nessuno | Opzioni di canonicalizzazione semplici e rilassate per una maggiore flessibilità |
| Hashing del corpo | Tutto il corpo firmato direttamente | Utilizza l'hash del corpo (bh=) per una migliore resistenza alle modifiche minori. |
| Dominio di verifica | In base al dominio "Da" o "Mittente | In base al tag d= nella firma |
| Integrazione con DMARC | Non supportato | Completamente supportato e utilizzato per i controlli di allineamento |
| Adozione e stato | Adozione limitata; obsoleta | Ampiamente adottato e utilizzato attivamente |
| Limitazione principale | Processo di firma rigido, assenza di selettori, rottura della firma | Non protegge l'intestazione "From" visibile (necessita di DMARC) |
Perché DKIM ha sostituito i DomainKey
DKIM ha sostituito DomainKeys perché ha risolto le principali limitazioni tecniche del protocollo: mancanza di standardizzazione, assenza di un meccanismo di selezione per la rotazione delle chiavi e fragilità delle firme che si rompevano con piccole modifiche ai messaggi. DKIM ha introdotto la firma flessibile delle intestazioni, una crittografia più robusta e la standardizzazione IETF, rendendolo più affidabile, scalabile e ampiamente adottato per l'autenticazione delle e-mail.
I vantaggi commerciali dell'implementazione di DKIM
Il DKIM offre numerosi vantaggi:
Prevenzione di spoofing e phishing
Sebbene il DKIM da solo non sia in grado di bloccare gli attacchi di spoofing e phishing, funziona con il DMARC per migliorare la sicurezza dei domini e tenere lontani i falsi.
Protezione del marchio
Quando un truffatore utilizza il vostro dominio per inviare e-mail dannose, la reputazione del vostro marchio ne risente. I destinatari associano il vostro nome a spam e frode, con conseguente perdita di fiducia. DKIM preserva l'integrità del vostro marchio nella posta in arrivo.
Consegnabilità delle e-mail
I principali fornitori di posta elettronica come Google e Microsoft si aspettano e richiedono un'autenticazione valida. Le e-mail che superano il DKIM sono considerate più affidabili.
Integrità del messaggio
La firma DKIM garantisce che il contenuto dell'e-mail non sia stato manomesso dopo l'invio. Ciò contribuisce a garantire che il messaggio letto dal destinatario sia esattamente quello inviato.
Perché il DKIM da solo non è sufficiente
DKIM è uno strumento potente, ma ha un limite importante se usato da solo: non impedisce lo spoofing dell'intestazione "Da".
DKIM verifica che l'email sia stata firmata da un dominio elencato nell'opzione d= della sua firma. Tuttavia, non non richiede che il dominio corrisponda al dominio visibile "Da" che l'utente vede. Un phisher potrebbe inviare un'e-mail "dal" nome dell'amministratore delegato, ma firmarla con il proprio dominio dannoso. L'e-mail passerebbe il controllo DKIM, ma si tratterebbe comunque di un attacco di spoofing.
Questo è il punto in cui DMARC entra in gioco.
DMARC colma il divario tra autenticazione e identità. Assicura che il dominio autenticato da DKIM o SPF corrisponda al dominio visibile al destinatario nell'intestazione "Da".
Riassunto
DomainKeys ha aperto la strada, ma DKIM rimane oggi lo standard per l'autenticazione affidabile delle e-mail. L'abbinamento con DMARC garantisce la protezione contro lo spoofing e il phishing.
Se si configura qualcosa nel modo sbagliato, anche le e-mail legittime possono essere bloccate. Per evitare tali problemi e altre difficoltà con il DKIM, PowerDMARC DKIM ospitato di PowerDMARC può essere d'aiuto. Si tratta di un servizio cloud che si occupa di ogni aspetto del processo di gestione del DKIM. Da una dashboard centralizzata, è possibile aggiungere, modificare e gestire più selettori e chiavi per tutti i domini, senza dover affrontare modifiche a livello di DNS.
Iniziate una prova gratuita per aumentare la deliverability, migliorare l'autenticazione e proteggere il vostro dominio dallo spoofing!
Domande frequenti
- DomainKeys è ancora utilizzato oggi?
Non più. È stato deprecato e sostituito dal moderno protocollo DKIM.
- In che modo PowerDMARC può aiutare nella gestione del DKIM?
PowerDMARC offre una soluzione DKIM in hosting che consente la distribuzione, il selettore e la gestione automatica delle chiavi DKIM.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
