Errori di allineamento del dominio DKIM - Correzioni RFC 5322
di
Tempo di lettura: 6 min
Un errore di allineamento RFC 5322 si verifica quando il dominio nell'intestazione "Da:" (visibile agli utenti) non corrisponde al dominio DKIM d= (nella firma). DMARC richiede che il dominio nell'intestazione "Da:" sia allineato con il dominio autenticato da SPF o DKIM.
DKIM aiuta a verificare se un'e-mail è stata manipolata durante il transito. Ai fini del DMARC, il DKIM autentica anche l'identità del dominio che dichiara di inviare l'e-mail (tramite d=). DMARC verifica se l'indirizzo "Da:" di un messaggio e-mail corrisponde ai domini autenticati da SPF e DKIM.
I punti chiave da prendere in considerazione
- Un errore di allineamento RFC 5322 si verifica quando il dominio nell'intestazione "From:" non corrisponde al dominio specificato nella firma DKIM (tag d=).
- L'allineamento del dominio DKIM è necessario per superare il DMARC se l 'allineamento SPF fallisce o è assente.
- Le due modalità di allineamento del DMARC sono rigorose e rilassate.
- L'uso di strumenti di email marketing e l'inoltro di email possono causare una mancata corrispondenza dell'allineamento RFC 5322 DKIM.
- Abbinare sempre i domini DKIM e "From:", impostare la modalità di allineamento pertinente, mantenere l'intestazione originale "From:" e aggiungere le chiavi DKIM dei sottodomini.
Che cos'è l'RFC 5322?
La RFC 5322 definisce la sintassi delle intestazioni delle e-mail su Internet, compresa l'intestazione "From:". DKIM e DMARC si basano su queste intestazioni per l'autenticazione. SPF, invece, verifica il mittente della busta (MAIL FROM) come previsto dalla RFC 5321. La RFC 5322 è stata pubblicata nell'ottobre 2008 ed è ora uno standard per la formattazione delle intestazioni e dei corpi delle e-mail.
Se non ci fossero stati i requisiti di allineamento, gli aggressori avrebbero potuto semplicemente utilizzare un valido SPF o DKIM validi di un dominio e falsificare l'indirizzo "Da:" di un altro. Con l'introduzione del requisito di allineamento, il lavoro degli hacker diventa molto più impegnativo: se i domini non si allineano, l'autenticazione DMARC fallisce e l'e-mail viene inviata allo spam o rifiutata del tutto.
Che cos'è l'allineamento dei domini DKIM?
Per capire al meglio cos'è l'allineamento dei domini DKIM, è utile innanzitutto capire come funziona DKIM.
Cos'è e come funziona il DKIM
DKIM (DomainKeys Identified Mail) è un protocollo di autenticazione delle e-mail che consente a un individuo o a un'organizzazione di assumersi la responsabilità della trasmissione di un'e-mail. Aggiunge una firma digitale che i provider di caselle di posta elettronica possono controllare per garantire che l'e-mail non sia stata manipolata durante il transito.
Quando si invia un'e-mail, il dominio mittente firma i messaggi in uscita con una chiave privata. Quindi, il server ricevente verifica la firma con l'aiuto di una chiave pubblica pubblicata nel DNS del dominio.
Il tag "d=", un componente chiave della firma DKIM, specifica il dominio responsabile della firma del messaggio. Questo dominio è incluso nell'intestazione DKIM e viene utilizzato dai server riceventi per verificare la chiave pubblica.
La differenza tra rilassato e rigoroso modalità di allineamento in DMARC
Allineamento DMARC aiuta a garantire che il dominio nell'intestazione "Da:" corrisponda al dominio autenticato da SPF o DKIM. Il DMARC prevede due modalità di allineamento: rilassata o rigorosa.
- Allineamento rilassato: Il dominio nell'intestazione "From:" deve solo corrispondere al dominio organizzativo utilizzato nell'autenticazione SPF o DKIM. Si tratta di una modalità più "indulgente" e flessibile, particolarmente utile quando si utilizzano sottodomini o servizi e-mail di terze parti.
- Allineamento rigoroso: Nel caso della modalità di allineamento rigoroso, il dominio dell'intestazione "From:" deve corrispondere esattamente al dominio utilizzato nell'autenticazione SPF o DKIM.
| Modalità di allineamento | Da: Esempio di intestazione | DKIM d= Esempio | Risultato DMARC |
|---|---|---|---|
| Rigoroso | [email protected] | d=example.com | ✅ Pass |
| Rigoroso | [email protected] | d=example.com | Non funziona |
| Rilassato | [email protected] | d=example.com | ✅ Pass |
| Rilassato | [email protected] | d=mail.example.com | ✅ Pass (stesso dominio organizzativo, in base all'elenco dei suffissi pubblici) |
Perché è importante l'allineamento DKIM e RFC 5322
L'obiettivo principale dei requisiti di allineamento DKIM e RFC 5322 è quello di impedire l'accesso non autorizzato.
Problema centrale: Il requisito di allineamento del DMARC
Il DMARC richiede che il dominio nell'intestazione "From:" dell'e-mail sia almeno parzialmente allineato con il dominio specificato nel campo "d=" della firma DKIM. In caso di allineamento rigoroso, i domini devono corrispondere esattamente. Nell'allineamento rilassato, devono almeno condividere lo stesso dominio organizzativo.
Scenari comuni di mancata corrispondenza
Ecco alcuni degli scenari di mismatch più comuni:
Utilizzo di strumenti di marketing
Gli strumenti di marketing spesso inviano e-mail da indirizzi come [email protected] ma le firmano con un dominio DKIM "d=example.com". In questa situazione, se l'allineamento DKIM è impostato su un allineamento rigoroso (adkim=s), è probabile che l'allineamento della firma DKIM fallisca.
Inoltro di e-mail
Mentre l'inoltro di solito influisce più su SPF che su DKIM, anche DKIM può fallire durante l'inoltro, ma solo se il messaggio viene modificato (ad esempio, dalle mailing list). Si noti che l'intestazione "From:" viene raramente modificata dagli inoltratori.
Ecco un esempio di disallineamento:
- Da: [email protected] (intestazione RFC 5322)
- DKIM-Signature: d=example.com (dominio non allineato e DMARC fallisce)
Cause comuni di problemi di allineamento
Alcune delle cause più comuni di guasti all'allineamento includono:
Utilizzo di servizi di terze parti
Quando si inviano e-mail tramite provider esterni di terze parti che non configurano correttamente l'allineamento dei domini, è probabile che si verifichi un errore di allineamento del dominio DKIM RFC 5322.
Errata configurazione del record DKIM
Quando i record DKIM o i selettori sono impostati in modo errato, è probabile che si verifichi un disallineamento. Anche un piccolo errore nell'impostazione può portare a gravi problemi di deliverability delle e-mail.
Incoerenze di dominio
Quando si utilizzano domini diversi nella firma DKIM e nell'intestazione "From:", non dovrebbe sorprendere una mancata corrispondenza dell'intestazione RFC 5322 From. Sia che l'incoerenza dei domini sia dovuta a una svista e a una configurazione errata, sia che faccia parte della configurazione intenzionale, in entrambi i casi è molto probabile che si verifichi un disallineamento e i conseguenti problemi.
Come diagnosticare i problemi di allineamento RFC 5322
Ecco due rapidi passaggi che aiutano a diagnosticare il problema di allineamento RFC 5322.
- Se si desidera diagnosticare i fallimenti dell'allineamento RFC 5322, per prima cosa è necessario esaminare attentamente i rapporti rapporti DMARC alla ricerca di voci con il motivo "allineamento dkim fallito".
- Successivamente, è possibile utilizzare strumenti di autenticazione delle e-mail come un verificatore DKIM o il comando dig per verificare i record DNS. Questo vi aiuterà a confermare che le firme DKIM sono pubblicate correttamente e corrispondono al vostro dominio di invio.
Come risolvere il disallineamento DKIM-RFC 5322
Ecco alcuni passaggi di facile attuazione per risolvere il disallineamento DKIM-RFC 5322.
1. Abbinare i domini DKIM e From
Assicurarsi sempre che la firma DKIM utilizzi lo stesso dominio del campo "Da:" . Questo è l'ideale per le e-mail inviate direttamente dal vostro dominio.
2. Impostare la modalità di allineamento
Assicuratevi di impostare la modalità di allineamento più adatta alle vostre preferenze ed esigenze. Utilizzate adkim=s per un allineamento rigoroso (quando è richiesta una corrispondenza esatta) o adkim=r per un allineamento rilassato (per consentire anche i sottodomini) nella vostra politica DMARC.
3. Aggiungere le chiavi DKIM del sottodominio
Se si utilizzano sottodomini nell'indirizzo "Da:", assicurarsi che il DKIM sia configurato per firmare i messaggi che utilizzano esattamente quel sottodominio o regolare di conseguenza la modalità di allineamento DMARC.
4. Conservare l'intestazione iniziale "Da:".
È necessario configurare i servizi di posta elettronica in modo da conservare il dominio "Da:" originale nell'intestazione del messaggio. In alcuni casi, durante l'inoltro delle e-mail, gli intermediari possono modificare involontariamente l'intestazione "Da:" o altre parti del messaggio, interrompendo potenzialmente l'allineamento DKIM e causando guasti DMARC. Mantenere l'intestazione originale "Da:" aiuta a preservare l'allineamento del dominio e, se combinato con ARC (Authenticated Received Chain)può fornire un contesto di autenticazione aggiuntivo per aiutare il server del destinatario a valutare la legittimità del messaggio nonostante le modifiche degli intermediari.
5. Test e convalida
Il test e la convalida sono una fase spesso trascurata ma fondamentale del processo. Esistono molti strumenti liberamente accessibili che possono essere utilizzati per verificare l'allineamento dei domini e l'impostazione del DKIM. L'uso di questi strumenti vi aiuterà a garantire che l'autenticazione DMARC venga superata e che il vostro messaggio venga consegnato al destinatario previsto.
Suggerimenti per i professionisti
Ecco altri suggerimenti per un allineamento senza errori.
Allineamento SPF + DKIM
DMARC confronta il dominio nell'intestazione RFC 5322.From con i domini autenticati da SPF (MAIL FROM) e DKIM (d=).
Evitare che strumenti di terze parti interrompano le intestazioni
Cercate di non utilizzare fornitori di servizi e-mail (ESP) di terze parti che interrompono o alterano le intestazioni. È possibile testare la conformità degli ESP prima di passare alla distribuzione completa. Questo vi aiuterà a evitare problemi di consegna e a garantire la conformità.
Riassunto
Un errore di allineamento RFC 5322 può verificarsi in diverse situazioni, in particolare quando si utilizzano strumenti di email marketing o si effettua l'inoltro di email. Tra le cause più comuni vi sono l'utilizzo di servizi di terze parti, l'errata configurazione dei record DKIM e le incongruenze dei domini.
L'analizzatore di rapporti DMARC consente di diagnosticare facilmente i guasti di allineamento RFC 5322, aiutandovi a rilevare e identificare rapidamente i problemi di autenticazione attraverso dati DMARC visivi e leggibili dall'uomo.
PowerDMARC può aiutarvi a iniziare il vostro viaggio verso un'autenticazione delle e-mail senza errori e a prevenire gli errori di allineamento. Per iniziare, utilizzate la vostra 15 giorni di prova gratuita oggi stesso!
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
- Spiegazione del meccanismo neutro dell'SPF: Quando e come usarlo - 23 giugno 2025
- Errori di allineamento dei domini DKIM - Correzioni RFC 5322 - 5 giugno 2025
- DMARCbis spiegato: cosa sta cambiando e come prepararsi - 19 maggio 2025
