Come trovare il selettore DKIM e gestire le chiavi DKIM

Cosa fa l'autenticazione delle e-mail? Sì, blocca i messaggi contraffatti, ma svolge anche un ruolo fondamentale nella protezione della reputazione del marchio e nella garanzia che le e-mail legittime raggiungano effettivamente la casella di posta in arrivo. Tra i protocolli di autenticazione principali, DKIM si distingue per l'aggiunta di una firma crittografica a ogni messaggio, a dimostrazione che non è stato alterato durante il transito.

Al centro del DKIM c'è il selettore DKIM. Sebbene spesso trascurato, il selettore determina quale chiave pubblica devono utilizzare i server di ricezione per verificare la firma della tua e-mail, rendendolo essenziale per il successo dell'autenticazione DKIM su diversi flussi di posta e provider.

In questo blog analizzeremo tutto ciò che c'è da sapere sui selettori DKIM e risolveremo gli errori comuni che possono compromettere l'autenticazione e influire sulla deliverability.

Cos'è un selettore DKIM?

Un selettore DKIM è un identificatore univoco utilizzato nell'autenticazione DKIM che indica ai server di posta in ricezione quale chiave pubblica recuperare dal DNS per verificare la firma DKIM di un'e-mail. Consente a un dominio di utilizzare più chiavi DKIM contemporaneamente, semplificando la rotazione e la gestione delle chiavi senza interrompere la consegna delle e-mail.

Esempio:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…

Qui s= sta per selettore. In questo esempio, s=selettore1 indica al server di interrogare:
selettore1._domainkey.example.com

Come funziona l'autenticazione DKIM (passo dopo passo)

Come spiegato sopra, DKIM funziona aggiungendo una firma crittografica a ogni email in uscita inviata dal tuo dominio abilitato DKIM.

• Passaggio 1: il server di posta in uscita firma l'e-mail in uscita utilizzando una chiave crittografica privata. Questa firma viene aggiunta all'intestazione dell'e-mail, insieme a un selettore DKIM che identifica quale chiave è stata utilizzata.
• Passaggio 2: il server di posta ricevente cerca la chiave pubblica. Lo fa interrogando il DNS utilizzando il selettore.
• Passaggio 3: una volta individuata la chiave pubblica, il server ricevente la utilizza per verificare la firma nell'intestazione dell'e-mail. Se la firma corrisponde, DKIM viene superato, confermando che il messaggio non è stato modificato durante il transito ed è stato autorizzato dal dominio mittente.

Tuttavia, è importante notare che DKIM funziona al meglio in combinazione con SPF e DMARC e non è in grado, da solo, di prevenire attacchi di spoofing e phishing.

Come trovare il selettore DKIM?

Metodo A: Controllare le intestazioni delle e-mail (manuale)

1) Invia un'e-mail di prova al tuo account Gmail
2) Clicca sui 3 puntini accanto all'e-mail nella tua casella di posta Gmail

3) Selezionare "mostra l'originale".

4) Nella pagina "Messaggio originale" naviga in fondo alla pagina fino alla sezione della firma DKIM e cerca di individuare il tag "s=", il valore di questo tag è il tuo selettore DKIM.

Nell'esempio precedente, s1 è il mio selettore DKIM. Questo è uno dei metodi che puoi usare per identificare e localizzare il tuo.

Metodo B: utilizzare le impostazioni del provider di posta elettronica

Passaggio 1: accedi alla console di amministrazione del tuo provider di servizi di posta elettronica.

Passaggio 2: vai alla sezione relativa all'autenticazione e-mail o alla configurazione DNS.
Passaggio 3: individua le impostazioni DKIM per il tuo dominio.
Passaggio 4: identifica il valore del selettore elencato con il record DKIM TXT.

Metodo C: Utilizzo degli strumenti di ricerca/controllo DKIM

Passaggio 1: apri lo strumento DKIM Checker di PowerDMARC

Passaggio 2: inserisci il nome del tuo dominio e mantieni il campo di selezione su "auto".

Passaggio 3: clicca su "lookup" (ricerca)
Passaggio 4: lascia che il nostro strumento rilevi e visualizzi automaticamente il tuo selettore DKIM

Metodo D: Utilizzo degli strumenti di monitoraggio DMARC

Gli strumenti di reporting DMARC come PowerDMARC forniscono visibilità sui selettori DKIM utilizzati attivamente dalle fonti di invio.

Passaggio 1: abilita la reportistica aggregata DMARC per il tuo dominio registrandoti su PowerDMARC.
Passaggio 2: esamina i risultati dell'autenticazione per ciascuna fonte di invio.
Passaggio 3: identifica i valori del selettore DKIM segnalati per ciascuna fonte e IP.

Come configurare e pubblicare un selettore DKIM

Configurare correttamente un selettore DKIM è fondamentale per l'autenticazione delle e-mail, la reputazione del mittente e la deliverability a lungo termine. Un selettore configurato in modo errato può compromettere completamente il DKIM, anche se la chiave stessa è valida.

Formato e sintassi richiesti per i record DNS

Un record DKIM viene pubblicato come record TXT nel DNS utilizzando questa struttura: selector._domainkey.tuodominio.com

Esempio: s1._domainkey.example.com

Il valore include solitamente:

• v=DKIM1 (versione del protocollo)
• k=rsa (tipo di chiave)
• p= (chiave pubblica)

Valore di esempio: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Assicurarsi che non vi siano spazi, virgolette o interruzioni di riga aggiuntivi inseriti dal provider DNS.

Raccomandazioni relative alla lunghezza delle chiavi (2048 bit)

• Si raccomanda vivamente l'uso di chiavi DKIM a 2048 bit.
• Le chiavi a 1024 bit sono obsolete e potrebbero non superare l'autenticazione con i principali provider di caselle di posta elettronica.
• Le chiavi più lunghe migliorano la forza crittografica senza influire sulle prestazioni

La maggior parte delle piattaforme di posta elettronica moderne utilizza chiavi a 2048 bit come impostazione predefinita. Si consiglia di mantenere questa opzione abilitata, a meno che non vi siano validi motivi tecnici per non farlo.

Pubblicazione tramite pannello del provider DNS

1. Accedi al tuo provider di hosting DNS
2. Aggiungi un nuovo record TXT
3. Imposta l'host/nome come selettore DKIM
4. Incolla la chiave pubblica DKIM nel campo del valore
5. Salva e attendi la propagazione
6. Controlla la tua configurazione DKIM utilizzando il nostro strumento DKIM Checker.

Convenzioni di denominazione dei selettori DKIM ed esempi

Scegliere il nome giusto per il selettore migliora la chiarezza, la scalabilità e la manutenzione a lungo termine.

Modelli di selezione comuni

I formati utilizzati più di frequente includono: s1, s2, selector1 e impostazioni predefinite del provider come google, k1, smtp, mail. Sebbene funzionino correttamente, spesso mancano di contesto e possono creare confusione durante il tracciamento.

Best practice: nomi descrittivi dei selettori

Utilizza invece selettori che indicano il servizio e il periodo di tempo, come ad esempio: google2025, sendgrid_q1, marketing_2024. Questi sono molto più facili da ricordare e tracciare, forniscono un contesto preciso, lasciando poco spazio alle congetture e garantendo al contempo la sicurezza.

Gestione selettori DKIM

Uno degli aspetti più trascurati del DKIM è la gestione dei selettori nel tempo. I selettori dovrebbero essere trattati come risorse gestite piuttosto che come voci DNS monouso che vengono dimenticate dopo la configurazione.
La conservazione della documentazione è una pratica semplice ma efficace. Un foglio di calcolo di base o un registro interno possono tenere traccia dei selettori e delle tempistiche di rotazione in modo efficiente. Ciò evita confusione quando è necessario ruotare le chiavi o quando un servizio di invio viene dismesso.
È sufficiente mantenere un semplice sistema di tracciamento (CSV, foglio di calcolo o registro interno) con:

• Nome selettore
• Dominio
• Servizio di invio
• Lunghezza chiave
• Data di creazione
• Programma di rotazione
• Proprietario/team

Ciclo di vita del selettore DKIM

Ogni selettore DKIM dovrebbe seguire un ciclo di vita chiaro. Si inizia con la pianificazione, in cui vengono definite le convenzioni di denominazione e le tempistiche di rotazione.
Un ciclo di vita sano include:

1. Piano: definire la strategia di denominazione e rotazione
2. Pubblica: aggiungi record DNS e convalida
3. Ruota: introdurre un nuovo selettore e una nuova chiave
4. Disattivazione: rimuovere in modo sicuro i selettori inutilizzati

Migliori pratiche per i selettori DKIM

Per mantenere lo stato di salute del selettore DKIM, ecco alcune best practice che puoi seguire:

1. Rendi i tuoi selettori unici e difficili da indovinare
2. Ruota le tue chiavi DKIM il più frequentemente possibile per evitare compromissioni.
3. Utilizza convenzioni di denominazione coerenti per tutti i mittenti per facilitare le verifiche.
4. Monitorate attivamente il vostro DKIM per garantire che i selettori inutilizzati vengano identificati e ritirati in tempo.

Come può aiutarti lo strumento di analisi DKIM di PowerDMARC

Hosted DKIM Analytics di PowerDMARC colma questa lacuna fornendo alle organizzazioni informazioni continue sulle prestazioni effettive di DKIM su domini, selettori e fonti di invio.

• Monitoraggio per selettore e servizio di invio: PowerDMARC analizza le prestazioni DKIM a livello di selettore e servizio di invio.
• Filtraggio flessibile dell'intervallo di tempo: PowerDMARC consente di analizzare le prestazioni DKIM su intervalli di tempo flessibili, come gli ultimi sette giorni, il mese precedente o periodi completamente personalizzati.
• Statistiche DKIM in sintesi: per valutazioni rapide, PowerDMARC fornisce una panoramica DKIM di alto livello che riassume il totale dei selettori, i servizi di invio attivi e il volume delle e-mail firmate DKIM rispetto a quelle non firmate.
• Informazioni dettagliate a livello di selettore: per ogni selettore, PowerDMARC mostra dati chiave quali il volume totale di e-mail, i tassi di superamento DKIM e l'ultima volta in cui il selettore è stato osservato mentre firmava un'e-mail.
• Report esportabili per audit e collaborazione: PowerDMARC consente di esportare i dati di Hosted DKIM Analytics in formato CSV, rendendo la creazione di report semplice e flessibile.
• Panoramica sullo stato delle chiavi DKIM: le informazioni chiave sullo stato delle chiavi includono la visibilità della lunghezza delle chiavi, il monitoraggio della rotazione delle chiavi e il monitoraggio dell'utilizzo delle chiavi.

Problemi comuni relativi al selettore DKIM e risoluzione dei problemi

Problema 1: selettore non trovato nel DNS

Cause comuni: questo problema può essere causato da errori di sintassi, tipo di record DNS errato, propagazione incompleta o utilizzo errato del dominio o sottodominio.
Risoluzione dei problemi: se hai configurato DKIM di recente, attendi 24-48 ore per la propagazione del DNS. Se il problema persiste, utilizza uno strumento di verifica DKIM per controllare il tuo record e correggere gli errori rilevati.

Problema 2: selettori multipli che causano confusione

Cause comuni: un numero eccessivo di selettori attivi può complicare gli audit, mentre i selettori inutilizzati possono rimanere indefinitamente. Questa non è una buona pratica. Inoltre, una documentazione inadeguata rende poco chiara la proprietà.
Risoluzione dei problemi: rimuovere tempestivamente i selettori inutilizzati e mantenere aggiornata la documentazione per rendere l'auditing e il tracciamento accurati e semplici.

Problema 3: Mancata corrispondenza del selettore

Cause comuni: l'intestazione DKIM fa riferimento a un selettore che non esiste nel DNS oppure una chiave è stata ruotata, ma il servizio di invio non è stato aggiornato.
Risoluzione dei problemi: verificare sempre l'allineamento tra la firma DKIM (valore s=) e il record DNS pubblicato.

Parole finali

Da questo blog abbiamo appreso che il selettore DKIM svolge un ruolo fondamentale nell'autenticazione DKIM e che è possibile individuarlo utilizzando diversi metodi, sia manuali che automatici. Tuttavia, se desiderate il massimo controllo sul vostro DKIM, occorre qualcosa di più.

Combinando l'analisi delle prestazioni con informazioni chiave sulla salute, PowerDMARC trasforma DKIM da una configurazione statica a un controllo di sicurezza monitorato continuamente. I team ottengono la visibilità necessaria per mantenere la deliverability, applicare le best practice e gestire con sicurezza DKIM in ecosistemi di posta elettronica complessi, senza fare affidamento su controlli manuali o supposizioni. Contattaci per iniziare oggi stesso!

Domande frequenti

Cosa succede se un selettore DKIM è errato?
Se un selettore DKIM è errato, le tue e-mail potrebbero non superare l'autenticazione DKIM, aumentando il filtraggio dello spam e causando possibili errori DMARC.
È possibile avere più selettori DKIM?
Sì. È normale avere più selettori DKIM, spesso necessari per la rotazione o per più mittenti.
Con quale frequenza devo ruotare le chiavi DKIM?
Si consiglia di ruotare le chiavi DKIM ogni 3-6 mesi. Tuttavia, in caso di incidente di sicurezza, ruotare immediatamente le chiavi per evitare ulteriori compromissioni.
Quali strumenti possono trovare automaticamente i selettori DKIM?
L'analizzatore di intestazioni e-mail e gli strumenti di ricerca DKIM di PowerDMARC possono estrarre istantaneamente il selettore DKIM utilizzato in un messaggio, senza sforzo manuale o competenze tecniche.

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• DMARCbis: cosa cambia e come prepararsi - 16 aprile 2026
• Il formato del numero di serie SOA non è valido: cause e soluzioni - 13 aprile 2026
• Come inviare email sicure su Gmail: guida passo passo - 7 aprile 2026