• Configurazione DKIM: Guida passo passo alla configurazione di DKIM per la sicurezza delle e-mail (2025)

Configurazione DKIM: Guida passo passo alla configurazione di DKIM per la sicurezza delle e-mail (2025)

Blog

Configurate il DKIM per il vostro dominio in pochi minuti! Scoprite come accedere alle impostazioni DNS, aggiungere una chiave pubblica e configurare DKIM per proteggere il vostro dominio dallo spoofing.

di Ahona Rudra

Tempo di lettura: 11 min
Configurazione DKIM: Guida passo passo alla configurazione di DKIM per la sicurezza delle e-mail (2025)
Indice dei contenuti-

DKIM, o DomainKeys Identified Mail (posta identificata da un dominio) è un protocollo di autenticazione delle e-mail che verifica l'autenticità delle e-mail in uscita. La configurazione di DKIM prevede l'utilizzo di una chiave crittografica privata generata dal server di posta, che crea una firma digitale basata sul contenuto dell'e-mail (un hash crittografato). Questa firma viene aggiunta all'intestazione dell'e-mail. L'impostazione di DKIM per il vostro dominio consente ai server dei destinatari di utilizzare una chiave pubblica corrispondente, pubblicata nel vostro DNS, per verificare che le e-mail ricevute provengano dal vostro server di posta autorizzato, non siano state manomesse durante il transito e non siano contraffatte.

Una corretta configurazione di DKIM è essenziale per migliorare sicurezza delle e-mailmigliorare la deliverability e prevenire gli attacchi di spoofing. Per questo motivo, questa guida mette in atto un semplice piano d'azione per configurare DKIM passo dopo passo per il vostro dominio. Iniziamo!

I punti chiave da prendere in considerazione

  1. DKIM utilizza firme crittografiche (chiavi pubbliche/private) per verificare l'autenticità e l'integrità delle e-mail, impedendone la manomissione.
  2. Una corretta configurazione del DKIM migliora significativamente la deliverability delle e-mail, riducendo il filtraggio dello spam e migliorando la reputazione del mittente.
  3. L'impostazione di DKIM comporta la generazione di una coppia di chiavi, la pubblicazione della chiave pubblica nel DNS e la configurazione dei server di posta per firmare le e-mail con la chiave privata.
  4. Combinate DKIM con SPF e DMARC, utilizzate selettori forti (a 2048 bit) e ruotate regolarmente le chiavi (potenzialmente utilizzando più record) per ottenere la massima protezione.
  5. Strumenti automatizzati e servizi gestiti come PowerDMARC semplificano l'impostazione, la convalida e la gestione continua del DKIM, riducendo errori e sforzi.

Semplificate il DKIM con PowerDMARC!

Prova di 15 giorniPrenota una demo

Perché impostare il DKIM è essenziale 

Miglioramento della deliverability delle e-mail

La configurazione di DKIM, insieme ai protocolli di supporto come SPF e DMARC, può dare un notevole impulso ai tassi di recapito delle e-mail, aiutando i messaggi a raggiungere la casella di posta invece di essere segnalati dai filtri antispam di servizi come Gmail, Outlook e Yahoo!

Reputazione del mittente migliorata

L'autenticazione svolge un ruolo importante nel mantenere e migliorare la reputazione del mittente, riducendo le possibilità di essere contrassegnati come spam.

Prevenzione della manomissione delle e-mail

DKIM aiuta a prevenire la manomissione dei messaggi durante il transito. Ciò significa che se un malintenzionato tenta di origliare la vostra conversazione e di inserirvi del codice maligno, DKIM contribuirà a identificare il messaggio come non attendibile. La firma crittografica garantisce che il contenuto dell'e-mail non sia stato alterato da quando è stato firmato dal mittente.

Maggiore fiducia da parte dei destinatari

Il DKIM, combinato con altri protocolli di autenticazione delle e-mail, aiuta a stabilire la fiducia dei destinatari, aumentando i tassi di coinvolgimento e la deliverability delle e-mail. 

Allineamento con le migliori pratiche e i requisiti di sicurezza della posta elettronica

L'implementazione di DKIM allinea il vostro dominio alle best practice del settore per la sicurezza delle e-mail e aiuta a soddisfare i requisiti di autenticazione stabiliti dai principali provider di caselle di posta elettronica, soprattutto se combinato con SPF e DMARC.

Configurazione di DKIM: Una guida passo-passo

1. Creare il record DKIM

Create il vostro record DKIM utilizzando il nostro Generatore di record DKIM. Lo strumento consente di generare immediatamente la coppia di chiavi DKIM, contenente le chiavi pubbliche e private DKIM. Si consiglia di generare chiavi con una lunghezza di 2048 bit per una maggiore sicurezza.

2. Accedere alla console di gestione DNS

Per iniziare, è necessario accedere al sistema dei nomi di dominio. Potete contattare il vostro provider DNS o il vostro host per farvi aiutare in questo processo.

3. Aggiungere il record DKIM alle impostazioni DNS

Pubblicare la chiave pubblica DKIM (in genere come record TXT o CNAME) nelle impostazioni DNS sotto il nome del selettore scelto (ad esempio, `s1._domainkey.yourdomain.com`). Salvare le modifiche. Configurare i server di invio delle e-mail in modo che utilizzino la chiave privata corrispondente per firmare i messaggi in uscita.

4. Verifica della configurazione DKIM

Dopo aver configurato il record DKIM e aver lasciato il tempo necessario per la propagazione del DNS (che può richiedere fino a 48 ore), verificatelo utilizzando il nostro strumento di strumento di verifica DKIM. Questo strumento vi dirà se il vostro record è valido, privo di errori e impostato correttamente!

Volete automatizzare il processo di impostazione e gestione del DKIM? Iniziate con Hosted DKIM gratuitamente!

Se utilizzate diversi servizi di posta elettronica per inviare le vostre e-mail commerciali o di lavoro, dovete impostare il DKIM per loro. Questo garantirà che il vostro fornitore di e-mail invii e-mail conformi ai vostri destinatari, aumentando la vostra deliverability. 

1. Impostazione DKIM per Google Workspace

Fonte: Supporto di Google

  1. Verificate se il DKIM è già impostato per il vostro dominio utilizzando il nostro strumento di validazione DKIM. 
  2. Se non si utilizza Google Workspace, è possibile utilizzare lo strumento di generazione DKIM di PowerDMARC per creare il record. 
  3. Se si utilizza Google Workspace, accedere alla Console amministrativa di Google. 
  4. Andare a Menu > Applicazioni > Spazio di lavoro Google> Gmail.
  5. Fare clic su Autentica e-mail 
  6. Selezionate il vostro dominio dall'elenco e fate clic sul pulsante Genera nuovo record per iniziare la creazione del record. In genere Google fornisce una chiave a 2048 bit.
  7. Una volta generato, copiare il nome host DNS (nome del record TXT) e il valore del record TXT (la chiave pubblica).
  8. Pubblicare il record TXT nelle impostazioni DNS e salvare le modifiche. Attendere la propagazione DNS.
  9. Tornare alla Google Admin Console e fare clic su "Avvia autenticazione".

2. Impostazione DKIM per Microsoft Office 365

  • Vai a Impostazioni di autenticazione e-mail nel portale Defender.
  • Nella scheda scheda DKIMselezionare il dominio personalizzato da configurare (fare clic su un punto qualsiasi della riga, tranne la casella di controllo).
  • Nel riquadro a comparsa dei dettagli del dominio, controllare lo stato. Se è indicato "Nessuna chiave DKIM salvata per questo dominio", fare clic su Crea chiavi DKIM.
  • Copiare i valori del valoridel record CNAME presentati nella finestra di dialogo. Ci saranno due nomi di host e i corrispondenti indirizzi point-to.
  • Aprite il sito web del vostro registratore di domini e create i due dati richiesti. Record CNAME utilizzando i valori copiati. Ad esempio:
    • Hostname: selector1._domainkey → Valore: selector1-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
    • Hostname: selector2._domainkey → Valore: selector2-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
  • Attendere qualche minuto (o più) per la propagazione del DNS.
  • Tornare al flyout dei dettagli del dominio nel portale Defender. Allineare Firma i messaggi per questo dominio con le firme DKIM su Abilitato (se non lo è già). Se i record CNAME sono stati rilevati, lo stato dovrebbe aggiornarsi.
  • Verificate:
    • L'opzione Toggle è impostata su Abilitato.
    • Lo stato è Firma delle firme DKIM per questo dominio.
    • Data dell'ultimo controllo riflette un controllo recente.

3. Impostazione DKIM per Godaddy

Il processo per GoDaddy prevede l'aggiunta del record DKIM (di solito un record TXT o CNAME fornito dal provider di servizi e-mail o generato da uno strumento) alle impostazioni DNS del dominio.

  • Accedere al proprio account GoDaddy.
  • Andate alla pagina Portafoglio domini e selezionate il vostro dominio.
  • Selezionare DNS dal menu di sinistra.
  • Fare clic su "Aggiungi nuovo record".
  • Inserire i dati forniti dalle istruzioni di impostazione del DKIM:

Tipo: Selezionare TXT o CNAME come richiesto.

Nome: Inserire il nome host fornito (ad es, selettore._dominio. GoDaddy spesso aggiunge automaticamente il nome del dominio).

Valore: Incollare il valore della chiave pubblica DKIM o il valore del CNAME di destinazione.

TTL: Utilizzare il valore predefinito (di solito 1 ora) o seguire le istruzioni specifiche.

  • Fare clic su "Salva". Attendere il tempo necessario per la propagazione del DNS.

4. Impostazione DKIM per Cloudflare 

Analogamente a GoDaddy, l'impostazione del DKIM con Cloudflare comporta l'aggiunta del record DNS specifico fornito dal servizio e-mail o dallo strumento di generazione DKIM.

  • Accedere a Cloudflare.
  • Selezionare l'account e il dominio.
  • Andare su DNS → Record.
  • Fare clic su "Aggiungi record".
  • Inserite i dettagli del vostro record DKIM:
    • Tipo: Selezionare TXT o CNAME come richiesto.
    • Nome: Inserire il nome host (ad esempio, `selector._domainkey`). Cloudflare aggiunge automaticamente il dominio.
    • Contenuto/Target: Incollare il valore della chiave pubblica DKIM (per TXT) o il nome host di destinazione (per CNAME).
    • TTL: L'opzione Auto di solito va bene, oppure seguire le istruzioni specifiche.
  • Assicurarsi che lo stato del proxy sia impostato su "solo DNS" (nuvola grigia) per i record DKIM.
  • Fare clic su Salva e attendere il tempo necessario per la propagazione del DNS.

(Nota: la sezione originale di Cloudflare descriveva l'impostazione di DMARC. I passaggi precedenti sono stati corretti per l'impostazione di DKIM in Cloudflare).

Come identificare il selettore DKIM

Una domanda comune spesso posta dai proprietari di domini è: "Come trovo il mio selettore DKIM"? Il selettore fa parte della firma DKIM aggiunta alle intestazioni delle e-mail e corrisponde allo specifico record di chiave pubblica nel DNS. Per trovare il proprio selettore DKIM per un'e-mail ricevuta o inviata:

1) Inviate una mail di prova dal dominio/servizio configurato a un account a cui potete accedere (come Gmail).

2) Aprite l'e-mail nella vostra casella di posta (ad esempio, Gmail).

3) Fare clic sui tre punti verticali (Altre opzioni) accanto al pulsante di risposta.

4) Selezionare "Mostra originale".

5) Nella pagina "Messaggio originale", cercare l'intestazione `DKIM-Signature`. All'interno di questa intestazione, trovare il tag `s=`. Il valore assegnato a questo tag è il selettore DKIM (ad esempio, `s=s1` significa che il selettore è `s1`).

Sfide dell'impostazione manuale di DKIM

La configurazione manuale del DKIM può essere complessa e soggetta a errori. Ecco alcune sfide chiave:

  • Generare, conservare e ruotare manualmente le chiavi crittografiche richiede competenza e una gestione attenta per evitare rischi per la sicurezza.
  • I record DKIM devono essere aggiunti con precisione alle impostazioni DNS. Un singolo errore di battitura o una formattazione errata possono portare a una mancata autenticazione, facendo sì che le e-mail vengano contrassegnate come spam o rifiutate.
  • La rotazione regolare delle chiavi è necessaria per la sicurezza, ma gli aggiornamenti manuali possono essere trascurati, eseguiti in modo improprio o causare tempi di inattività se non gestiti con attenzione.
  • La diagnosi di problemi con DKIM, come errori di verifica delle firme o problemi di configurazione DNS, può essere difficile e richiedere molto tempo, soprattutto quando si lavora con più provider di posta elettronica o servizi di terze parti.
  • L'impostazione e la manutenzione manuali richiedono tempo e sforzi tecnici significativi, aumentando il rischio di configurazioni errate e di inefficienze operative.

Vantaggi dell'automazione

  • L'automazione della gestione DKIM è un modo più rapido per implementare e monitorare la vostra configurazione DKIM, senza il fastidio di interventi manuali come la generazione di chiavi e gli aggiornamenti DNS.
  • Le soluzioni automatizzate sono molto più accurate in quanto riducono al minimo il potenziale di errore umano nella creazione e configurazione dei record.
  • La facilità d'uso è un altro fattore che rende le soluzioni automatizzate un'alternativa allettante per le aziende che desiderano ridurre l'impegno manuale e le competenze tecniche richieste.
  • La gestione automatizzata del DKIM può migliorare la sicurezza semplificando e incoraggiando la rotazione regolare delle chiavi DKIM.

Come PowerDMARC semplifica l'impostazione del DKIM

Generazione automatica della chiave DKIM

Lo strumento di PowerDMARC generatore DKIM genera automaticamente chiavi DKIM crittografiche sicure (che supportano 1024 e 2048 bit), eliminando il rischio di errori manuali. Il nostro servizio Hosted DKIM automatizza ulteriormente la gestione delle chiavi.

Configurazione semplificata dei record DNS

Gli utenti ricevono un record DKIM pronto per la pubblicazione per il loro DNS, evitando la necessità di costruire manualmente o di risolvere i problemi delle voci TXT o CNAME. La guida passo-passo assicura un'implementazione rapida e senza errori.

Facile verifica e monitoraggio del DKIM

La nostra piattaforma include strumenti di verifica in tempo reale per garantire che il DKIM sia impostato correttamente e funzioni come previsto. I rapporti DMARC analizzati da PowerDMARC forniscono approfondimenti sui risultati dell'autenticazione DKIM, aiutando gli utenti a ricevere avvisi in caso di mancata autenticazione, consentendo una risoluzione immediata dei problemi.

Gestione DKIM centralizzata

Gestione di più chiavi DKIM e domini da un unico DKIM in hosting con visibilità sullo stato delle chiavi, sull'utilizzo e sulla cronologia semplificata della rotazione, migliorando la sicurezza e il controllo senza dover accedere direttamente al DNS per gli aggiornamenti.

Migliori pratiche DKIM per un'autenticazione più forte delle e-mail

Le seguenti best practice possono migliorare ulteriormente l'autenticazione DKIM: 

1. Rotazione delle chiavi DKIM

Frequente Rotazione delle chiavi DKIM riduce al minimo il rischio di compromissione in caso di esposizione della chiave privata. Le migliori pratiche suggeriscono di ruotare le chiavi ogni 6-12 mesi, o anche più frequentemente. Soluzioni automatizzate come PowerDMARC garantiscono una facile gestione delle chiavi DKIM senza interventi manuali. L'impostazione di più record DKIM può anche facilitare la rotazione delle chiavi, consentendo la pubblicazione di una nuova chiave prima che la vecchia venga ritirata.

2. Selettori e chiavi DKIM forti

L'uso di selettori DKIM unici e descrittivi (ad esempio, `selettore1`, `google`, `sendgrid`) migliora l'organizzazione e la risoluzione dei problemi rispetto a quelli generici. Si raccomanda vivamente di utilizzare chiavi a 2048 bit per una maggiore sicurezza crittografica rispetto al vecchio standard a 1024 bit.

3. Monitoraggio dell'autenticazione DKIM

Esaminare regolarmente i risultati dell'autenticazione DKIM utilizzando rapporti aggregati DMARC per rilevare i fallimenti dell'autenticazione o l'uso non autorizzato del vostro dominio. Utilizzate strumenti di monitoraggio e validatori DKIM per verificare periodicamente che le firme DKIM siano applicate correttamente e superino la verifica.

4. Combinare DKIM con SPF e DMARC

L'utilizzo di DKIM insieme a SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) crea una sicurezza stratificata delle e-mail. SPF verifica gli IP di invio, DKIM l'integrità dei messaggi e DMARC l'applicazione dei criteri e i rapporti, offrendo una protezione completa contro lo spoofing e il phishing.

Risoluzione dei problemi DKIM più comuni

  • Ritardi nella propagazione DNS: I record DKIM appena pubblicati o aggiornati possono richiedere del tempo (da minuti a 48 ore) per propagarsi attraverso i server DNS globali. È importante attendere a sufficienza e verificare la presenza del record utilizzando strumenti di ricerca DNS esterni prima di ipotizzare un errore di configurazione.
  • Configurazione errata dei record DKIM: Errori nel nome del selettore, caratteri mancanti nel valore della chiave pubblica, tipo di record non corretto (TXT o CNAME) o record formattati in modo errato possono causare errori. Ricontrollare attentamente il nome host e il valore rispetto alle istruzioni fornite prima di pubblicarli sul proprio DNS.
  • Fallimenti della verifica DKIM (`dkim=fail`): Se la verifica DKIM fallisce, le e-mail possono essere contrassegnate come spam o rifiutate. Le cause potenziali includono una chiave pubblica errata nel DNS, un errore di corrispondenza della chiave privata sul server di invio, la modifica del messaggio da parte di intermediari (anche se DKIM è progettato per rilevarlo) o una verifica troppo rigorosa da parte del destinatario. Controllate le intestazioni delle firme DKIM nell'origine dell'e-mail, verificate che la chiave pubblica nel DNS corrisponda a quella prevista e analizzate i rapporti DMARC per individuare eventuali errori.
  • Problemi con i mittenti di e-mail di terze parti: Quando si utilizzano provider di terze parti (come Mailchimp, SendGrid, Office 365), assicurarsi di seguire le loro specifiche istruzioni di configurazione DKIM. Alcuni possono richiedere l'uso di record CNAME che puntano al loro dominio, mentre altri consentono di pubblicare un record TXT con una chiave fornita da loro o generata da voi. Confermate che il provider supporta il DKIM per il vostro dominio di invio.
  • Problemi con i selettori: L'uso di un nome di selettore errato nel record DNS (che non corrisponde al tag `s=` nell'intestazione dell'e-mail) causa errori di autenticazione. Verificate che il nome del selettore pubblicato nel DNS corrisponda a quello utilizzato dal servizio di invio nelle intestazioni delle e-mail.

Domande frequenti sull'impostazione del DKIM

1. Quanto tempo ci vuole perché il DKIM inizi a funzionare?

Dopo aver pubblicato il record della chiave pubblica DKIM nel proprio DNS, questo deve propagarsi attraverso i server DNS di Internet. Questa operazione può richiedere da pochi minuti a 48 ore, anche se spesso è molto più veloce. Una volta che il record è visibile pubblicamente e il vostro server di posta elettronica è configurato per firmare le e-mail, il DKIM sarà attivo per le e-mail successive inviate da quella fonte configurata.

2. Come posso verificare se la mia configurazione DKIM funziona?

È possibile verificare l'impostazione del DKIM in diversi modi: utilizzare uno strumento di verifica DKIM online (come quello di PowerDMARC) per cercare il record pubblicato nel DNS; inviare un'e-mail di prova a un servizio come Gmail e controllare le intestazioni del "messaggio originale" per verificare la presenza di uno stato `dkim=pass` nell'intestazione `Authentication-Results`; oppure monitorare i rapporti aggregati DMARC, che mostrano i risultati DKIM passati/falliti per le e-mail del proprio dominio.

3. Cosa succede se la verifica DKIM fallisce? 

Se la verifica DKIM fallisce (`dkim=fail`), i server riceventi possono trattare l'e-mail con maggiore sospetto. Questo potrebbe portare il messaggio a essere contrassegnato come spam, messo in quarantena o potenzialmente rifiutato, soprattutto se il DMARC è configurato anche con un criterio di `quarantena` o `rifiuto` e anche l'SPF fallisce (o non è allineato). Un fallimento del DKIM ha un impatto negativo sulla reputazione del mittente e sulla deliverability.

4. Posso utilizzare più selettori DKIM per lo stesso dominio?

Sì, è assolutamente possibile e spesso opportuno utilizzare più selettori DKIM per lo stesso dominio. Ciò è necessario quando si inviano e-mail attraverso servizi diversi (ad esempio, Google Workspace, Salesforce, una piattaforma di marketing), in quanto ciascuno di essi può richiedere una propria chiave/selettore. È anche la prassi migliore per la rotazione delle chiavi, che consente di introdurre una nuova chiave con un nuovo selettore prima di ritirare quello vecchio.

5. Quali sono gli errori comuni da evitare durante l'impostazione del DKIM?

Gli errori più comuni includono: errori di sintassi nel record DNS (errori di battitura, spazi extra, citazioni errate); pubblicazione del tipo di record sbagliato (TXT o CNAME); mancata corrispondenza dei selettori tra il record DNS e la firma dell'e-mail; dimenticanza di abilitare la firma DKIM sulla piattaforma di invio dell'e-mail dopo la pubblicazione del record DNS; copia solo di una parte del valore di una chiave pubblica lunga; non attesa sufficiente per la propagazione del DNS prima di testare o aspettarsi risultati. Anche il mancato utilizzo di chiavi a 2048 bit, quando disponibili, è un'occasione persa per migliorare la sicurezza.

Pensieri finali

DKIM costituisce un solido elemento di base quando si tratta di rafforzare la sicurezza delle e-mail del vostro dominio. Garantendo l'integrità delle vostre comunicazioni e-mail mediante la verifica crittografica, protegge la reputazione del vostro marchio da eventuali danni e il vostro dominio da attacchi di spoofing e phishing che si basano su informazioni falsificate sul mittente. Con milioni di domini non protetti in tutto il mondo e un crescente controllo da parte dei provider di caselle di posta elettronica, è il momento di aumentare la sicurezza piuttosto che rimanere indietro. Fate il primo passo verso un'autenticazione più forte implementando correttamente DKIM, idealmente insieme a SPF e DMARC. Iniziate la vostra prova gratuita con PowerDMARC per semplificare il processo!


"`

Ultimi messaggi di Ahona Rudra (vedi tutti)
Famose violazioni di dati e attacchi di phishing: Cosa possiamo imparareI migliori verificatori DKIM nel 2025