Come configurare DKIM: semplici passaggi da seguire oggi stesso

Blog

Scopri come configurare DKIM per il tuo dominio con questa guida passo passo. Scopri come abilitare DKIM per autenticare le tue e-mail e migliorare la deliverability.

di Ahona Rudra

Ultimo aggiornamento:
Tempo di lettura: 11 min
Come configurare DKIM: semplici passaggi da seguire oggi stesso
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • DKIM autentica le e-mail verificando l'integrità dei messaggi e confermando che siano stati inviati da server autorizzati.
  • La configurazione di DKIM comporta la generazione di una coppia di chiavi, la pubblicazione della chiave pubblica come record DNS e l'abilitazione della firma sul proprio provider di posta elettronica.
  • DKIM migliora la deliverability e la reputazione del mittente aiutando i provider di caselle di posta elettronica a fidarsi del tuo dominio.
  • Ogni servizio di posta elettronica richiede una propria configurazione DKIM, spesso utilizzando selettori separati per garantire flessibilità e rotazione delle chiavi.
  • DKIM funziona al meglio se combinato con SPF e applicato tramite DMARC, supportato da un monitoraggio regolare e una manutenzione accurata.

Se le tue e-mail finiscono nella cartella spam o vengono rifiutate, è probabile che il tuo dominio non sia autenticato correttamente.

Uno dei passi più importanti che puoi compiere per risolvere questo problema è configurare DKIM: un protocollo che dimostra che le tue e-mail sono legittime e non sono state manomesse.

In questa guida ti spiegheremo passo dopo passo come configurare DKIM per il tuo dominio, in modo da proteggere la reputazione del mittente e migliorare la deliverability delle tue e-mail.

Cos'è DKIM?

DKIM, o DomainKeys Identified Mail, è un metodo di autenticazione delle e-mail che utilizza schemi di firma digitale basati sulla crittografia a chiave pubblica per verificare la provenienza di un'e-mail. Funziona abbinando due chiavi crittografiche: una chiave privata che il mittente utilizza per firmare i messaggi in uscita e una chiave pubblica che i server di ricezione utilizzano per verificare tali firme.

Ogni e-mail inviata da un dominio abilitato DKIM include un'intestazione DKIM contenente una firma digitale, essenzialmente un codice hash calcolato combinando il contenuto dell'e-mail con la chiave privata utilizzando un algoritmo di sicurezza.

La chiave pubblica corrispondente è memorizzata in un record DNS pubblicamente disponibile noto come record DKIM. Quando arriva un'e-mail, il server ricevente cerca questo record, recupera la chiave pubblica e la utilizza per verificare la firma. Se le intestazioni o il corpo dell'e-mail sono stati alterati in qualche modo durante il transito, la verifica fallisce.

Consiglio dell'esperto: Per gli ambienti aziendali, documentare l'infrastruttura e-mail attuale prima di apportare modifiche. Ciò include mittenti di terze parti, sottodomini e qualsiasi record di autenticazione esistente.

Perché DKIM è essenziale per il tuo dominio?

La configurazione DKIM rafforza l'autenticazione delle e-mail e supporta sia la sicurezza che l'affidabilità nella consegna dei messaggi senza aggiungere complessità per i destinatari. Ecco perché è importante configurare DKIM:

  • Previene lo spoofing del dominio: DKIM aiuta a prevenire lo spoofing non autorizzato del tuo dominio autenticando ogni email in uscita con una firma digitale, rendendo molto più difficile per gli hacker inviare e-mail di spam fingendo di essere te.
  • Protegge la reputazione del mittente: quando i server di ricezione possono verificare che le tue e-mail siano legittime e non manomesse, il tuo dominio acquisisce fiducia nel tempo. Questo protegge direttamente il tuo marchio e la reputazione del mittente.
  • Migliora la deliverability delle email: DKIM aumenta significativamente i tassi di consegna delle e-mail. Senza di esso, le e-mail che non superano i controlli DKIM e SPF vengono contrassegnate come spam o non vengono affatto consegnate dai server di posta elettronica riceventi.
  • Garantisce l'integrità delle e-mail: La firma digitale in DKIM garantisce che l'e-mail non sia stata modificata durante il trasferimento. Se le intestazioni o il corpo del messaggio vengono alterati dopo l'invio, la verifica fallisce. I destinatari possono essere certi che ciò che ricevono è esattamente ciò che è stato inviato.
  • Consente la conformità DMARC: DKIM è un requisito necessario per ottenere la conformità DMARC. Senza di esso, non è possibile applicare una politica DMARC, lasciando il proprio dominio vulnerabile agli attacchi di phishing e di furto d'identità.
  • Rafforza la sicurezza complessiva della tua posta elettronica: DKIM, insieme a SPF e DMARC, rende molto più difficile per gli hacker impersonare il tuo dominio. Insieme, questi tre protocolli costituiscono la base dell'autenticazione e-mail moderna.

Come funziona DKIM?

DKIM è un processo tecnico, ma l'idea di base è semplice. Consente ai provider di posta elettronica di verificare che un messaggio provenga dal dominio indicato e non sia stato modificato durante il trasferimento. Ecco come funziona.

  • Firma: Il server mittente utilizza una chiave privata per generare una firma digitale, che viene allegata all'e-mail come campo dell'intestazione DKIM-Signature.
  • Pubblicazione: La chiave pubblica del dominio viene pubblicata come record DNS TXT (il record DKIM) in modo che qualsiasi server ricevente possa accedervi.
  • Verifica: Il server di posta elettronica ricevente controlla il record DNS DKIM, recupera la chiave pubblica e la utilizza per verificare la firma digitale.
  • Approvato o respinto: Se la firma corrisponde, l'e-mail viene autenticata. Se le intestazioni o il corpo dell'e-mail sono stati modificati durante il trasferimento, la verifica non va a buon fine e il messaggio potrebbe essere contrassegnato come spam o rifiutato.

L'intestazione DKIM-Signature contiene anche un selettore, che indica al server ricevente esattamente quale chiave pubblica utilizzare per la verifica. Ciò è particolarmente importante quando un dominio utilizza più chiavi DKIM.

Semplificate il DKIM con PowerDMARC!

Proteggi subito il mio dominio Prenota una demo

Non è richiesta alcuna carta di credito. Cancellabile in qualsiasi momento.

 

Requisiti preliminari per la configurazione DKIM

Prima di iniziare il processo di configurazione DKIM, è necessario assicurarsi che alcuni requisiti siano soddisfatti. Saltare uno qualsiasi di questi passaggi può portare a configurazioni errate o a un'autenticazione non riuscita, quindi vale la pena dedicare un momento per verificare che tutto sia pronto.

  • Accesso amministrativo alle impostazioni DNS del tuo dominio: Dovrai creare un record TXT presso il tuo provider di dominio per pubblicare la tua chiave DKIM pubblica.
  • Accesso amministrativo al tuo provider di servizi di posta elettronica: Che utilizzi Google Workspace, Microsoft 365 o un altro provider, devi aver effettuato l'accesso come super amministratore per generare o ottenere le chiavi DKIM.
  • Elenco di tutti i domini e servizi di invio: È necessario creare record DKIM per ogni dominio e servizio autorizzato a inviare posta per conto della propria organizzazione, compresi gli strumenti di terze parti.
  • Una coppia di chiavi DKIM: I principali provider possono generarle automaticamente nelle loro console di amministrazione, oppure è possibile ottenerle da portali di terze parti o utilizzare strumenti come Generatore di record DKIM di PowerDMARC

Una volta confermato tutto ciò, sei pronto per procedere con la configurazione.

Come configurare DKIM per il tuo dominio (passo dopo passo)

Ora che hai tutto pronto, è il momento di seguire la procedura di configurazione DKIM. Segui attentamente ogni passaggio per assicurarti che la configurazione DKIM sia accurata e funzionante fin dall'inizio.

Passaggio 1: generare la coppia di chiavi DKIM

Accedi alla console di amministrazione del tuo provider di servizi di posta elettronica e genera una coppia di chiavi DKIM. In questo modo otterrai una chiave privata (che rimarrà presso il tuo provider) e una chiave pubblica che dovrai aggiungere al tuo DNS.

Se il tuo provider è un servizio di terze parti, accedi al suo portale per ottenere la chiave DKIM. Quando scegli la dimensione della chiave, opta per 2048 bit per una maggiore sicurezza.

Passaggio 2: crea il tuo record TXT DKIM nel DNS

Head to your domain provider’s DNS management panel and create a new TXT record. The record name follows a specific format: <selector>._domainkey.<yourdomain.com>, where the selector is a unique string used to identify the specific DKIM key.

Il valore record inizia tipicamente con v=DKIM1; k=rsa; p= seguito dalla tua chiave pubblica. Segui le istruzioni specifiche fornite dal tuo provider di posta elettronica e dall'host del dominio per garantire la precisione.

Passaggio 3: abilitare la firma DKIM nel proprio provider di servizi di posta elettronica

Torna alle impostazioni del tuo provider di servizi di posta elettronica e abilita la firma DKIM. In questo modo il provider inizierà ad allegare una firma DKIM a tutte le e-mail in uscita dal tuo dominio.

Senza questo passaggio, le tue e-mail non avranno un'intestazione DKIM-Signature anche se il record DNS è presente.

Passaggio 4: attendere la propagazione del DNS

Dopo aver aggiunto la chiave DKIM, possono essere necessarie fino a 48 ore prima che l'autenticazione DKIM inizi a funzionare.

Durante questo periodo, le modifiche al DNS si propagano su Internet, quindi non preoccuparti se la verifica non viene completata immediatamente.

Passaggio 5: Ripetere l'operazione per i servizi aggiuntivi

Se utilizzi più servizi di posta elettronica, ripeti i passaggi da 1 a 4 per ciascuno di essi. Ogni servizio richiede un proprio record DKIM unico con un selettore distinto per garantire che tutte le tue fonti di invio siano autenticate correttamente.

Come verificare la configurazione DKIM

Successivamente, è necessario verificare che tutto funzioni correttamente. Un record configurato in modo errato o un errore di battitura nella voce TXT possono compromettere l'autenticazione senza che te ne accorga, quindi è importante verificare la configurazione prima di dare per scontato che le tue e-mail siano protette. Ecco alcuni metodi affidabili per effettuare la verifica.

  • Controlla le intestazioni delle e-mail: Invia un'e-mail di prova e controlla le intestazioni del messaggio per verificare la presenza di un DKIM-Signature e DKIM=PASS nei risultati dell'autenticazione.
  • Invia un'e-mail di prova a Gmail: Apri l'email ricevuta, clicca su "Mostra originale" e cerca lo stato di superamento DKIM nei dettagli di autenticazione.
  • Utilizza strumenti di verifica online: strumenti come MXToolbox consentono di cercare il proprio record DKIM inserendo il proprio dominio e selettore per confermare che la chiave pubblica sia pubblicata correttamente.
  • Attendere il tempo necessario per la propagazione: Se la verifica non va a buon fine, ricorda che possono essere necessarie fino a 48 ore affinché le modifiche al DNS si propaghino completamente prima di procedere con ulteriori operazioni di risoluzione dei problemi.

Configurazione DKIM per i principali provider di posta elettronica

Se utilizzi diversi servizi di posta elettronica per inviare le tue e-mail aziendali o commerciali, dovrai configurare DKIM per ciascuno di essi.

Ogni provider firma i messaggi in uscita con la propria chiave DKIM e il proprio selettore, quindi configurare DKIM individualmente garantisce che ogni servizio che invia per conto del tuo dominio sia correttamente autenticato.

1. Per Google Workspace

Per le piccole imprese che utilizzano Google Workspace, questa configurazione richiede in genere 15-20 minuti e offre vantaggi immediati in termini di sicurezza della posta elettronica.

Fonte: Supporto di Google

  1. Verificate se il DKIM è già impostato per il vostro dominio utilizzando il nostro strumento di validazione DKIM. 
  2. Se non si utilizza Google Workspace, è possibile utilizzare lo strumento di generazione DKIM di PowerDMARC per creare il record. 
  3. Se si utilizza Google Workspace, accedere alla Console amministrativa di Google. 
  4. Andare a Menu > Applicazioni > Spazio di lavoro Google> Gmail.
  5. Fare clic su Autentica e-mail 
  6. Selezionate il vostro dominio dall'elenco e fate clic sul pulsante Genera nuovo record per iniziare la creazione del record. In genere Google fornisce una chiave a 2048 bit.
  7. Una volta generato, copiare il nome host DNS (nome del record TXT) e il valore del record TXT (la chiave pubblica).
  8. Pubblicare il record TXT nelle impostazioni DNS e salvare le modifiche. Attendere la propagazione DNS.
  9. Tornare alla Google Admin Console e fare clic su "Avvia autenticazione".

2. Per Microsoft Office 365

Microsoft Office 365 utilizza due selettori DKIM per ogni dominio personalizzato. Questi selettori consentono a Microsoft di ruotare automaticamente le chiavi DKIM senza interrompere la consegna delle e-mail, migliorando la sicurezza e riducendo il rischio di esposizione delle chiavi. Entrambi i selettori devono essere pubblicati correttamente nel DNS affinché la firma DKIM funzioni come previsto.

Per configurare DKIM per Microsoft Office 365, procedi come segue:

  • Vai a Impostazioni di autenticazione e-mail nel portale Microsoft Defender.
  • Sul scheda DKIM , seleziona il dominio personalizzato che desideri configurare facendo clic in un punto qualsiasi della riga, eccetto la casella di controllo.
  • Nel menu a comparsa dei dettagli del dominio, controlla lo stato. Se viene visualizzato "Nessuna chiave DKIM salvata per questo dominio", seleziona Crea chiavi DKIM.

Microsoft genererà due selettori DKIM e visualizzerà i valori dei record CNAME richiesti. Questi record indirizzano il tuo dominio alle chiavi DKIM gestite da Microsoft.

  • Copia i due nomi host e i valori di destinazione corrispondenti.
  • Apri l'interfaccia di gestione DNS del tuo registrar di domini e crea i record CNAME richiesti utilizzando i valori copiati. Ad esempio:
    • Nome host: selector1._domainkey → Valore: selector1-tuodominio-com._domainkey.tuotennant.onmicrosoft.com
    • Nome host: selector2._domainkey → Valore: selector2-tuodominio-com._domainkey.tuotennant.onmicrosoft.com
  • Salva i record e attendi che il DNS si propaghi. L'operazione può richiedere alcuni minuti o più, a seconda del tuo provider DNS.
  • Una volta completata la propagazione, torna al menu a comparsa dei dettagli del dominio nel portale Defender e attiva Firma i messaggi per questo dominio con firme DKIM su Abilitato. Se i record CNAME vengono rilevati correttamente, lo stato verrà aggiornato.
  • Per confermare la configurazione, verificare che:
    • Il pulsante è impostato su Abilitato.
  • Lo stato mostra Firma delle firme DKIM per questo dominio.
  • L' L'ultima verifica riflette una recente convalida.

3. Per Godaddy

Il processo per GoDaddy prevede l'aggiunta del record DKIM (di solito un record TXT o CNAME fornito dal provider di servizi e-mail o generato da uno strumento) alle impostazioni DNS del dominio.

  • Accedere al proprio account GoDaddy.
  • Andate alla pagina Portafoglio domini e selezionate il vostro dominio.
  • Selezionare DNS dal menu di sinistra.
  • Fare clic su "Aggiungi nuovo record".
  • Inserire i dati forniti dalle istruzioni di impostazione del DKIM:

Tipo: Selezionare TXT o CNAME come richiesto.

Nome: Inserire il nome host fornito (ad es, selettore._dominio. GoDaddy spesso aggiunge automaticamente il nome del dominio).

Valore: Incollare il valore della chiave pubblica DKIM o il valore del CNAME di destinazione.

TTL: Utilizzare il valore predefinito (di solito 1 ora) o seguire le istruzioni specifiche.

  • Fare clic su "Salva". Attendere il tempo necessario per la propagazione del DNS.

4. Per Cloudflare 

Analogamente a GoDaddy, l'impostazione del DKIM con Cloudflare comporta l'aggiunta del record DNS specifico fornito dal servizio e-mail o dallo strumento di generazione DKIM.

  • Accedere a Cloudflare.
  • Selezionare l'account e il dominio.
  • Andare su DNS → Record.
  • Fare clic su "Aggiungi record".
  • Inserite i dettagli del vostro record DKIM:
    • Tipo: Selezionare TXT o CNAME come richiesto.
    • Nome: Inserire il nome host (ad esempio, `selector._domainkey`). Cloudflare aggiunge automaticamente il dominio.
    • Contenuto/Target: Incollare il valore della chiave pubblica DKIM (per TXT) o il nome host di destinazione (per CNAME).
    • TTL: L'opzione Auto di solito va bene, oppure seguire le istruzioni specifiche.
  • Assicurarsi che lo stato del proxy sia impostato su "solo DNS" (nuvola grigia) per i record DKIM.
  • Fare clic su Salva e attendere il tempo necessario per la propagazione del DNS.

Migliori pratiche DKIM

Configurare DKIM è un ottimo primo passo, ma mantenerlo correttamente nel tempo è ciò che garantisce davvero la sicurezza del tuo dominio e l'arrivo delle tue e-mail nelle caselle di posta. Le minacce alle e-mail sono in continua evoluzione, quindi la configurazione di DKIM dovrebbe essere considerata un processo continuo piuttosto che un'attività una tantum. Segui queste best practice per stare al passo con i tempi:

  • Non condividere né rivelare mai la tua chiave privata: Trattala come una password; solo il tuo provider di servizi e-mail dovrebbe avervi accesso.
  • Utilizza chiavi DKIM complesse e selettori chiari: Utilizza sempre chiavi a 2048 bit per una protezione crittografica più forte. I selettori descrittivi aiutano a distinguere le chiavi tra i vari provider e semplificano la risoluzione dei problemi.
  • Monitorare i risultati dell'autenticazione DKIM: Esamina i risultati positivi e negativi DKIM attraverso i report aggregati DMARC per individuare tempestivamente errori di firma, problemi DNS o utilizzi non autorizzati.
  • Mantieni puliti i tuoi record DNS: rimuovi i record DKIM TXT obsoleti dalle rotazioni precedenti o dai servizi dismessi per evitare confusione e potenziali abusi.
Consiglio dell'esperto: Per gli ambienti aziendali, implementare una politica di gestione delle chiavi DKIM che includa audit regolari, monitoraggio automatizzato e procedure documentate per la rotazione delle chiavi in tutti i servizi di posta elettronica.

Risoluzione dei problemi DKIM più comuni

Se DKIM è configurato ma non funziona come previsto, solitamente la causa è da ricercarsi in alcuni problemi comuni. Questa sezione tratta i problemi DKIM più frequenti e come risolverli.

ProblemaCausaSoluzione
Ritardi nella propagazione DNSTempistica dell'aggiornamento DNS globaleAttendere 24-48 ore, utilizzare strumenti DNS esterni
Configurazione errata del recordErrori di battitura, formato errato, caratteri mancantiControllare attentamente il nome host e la sintassi del valore
Errori di verifica DKIMDisallineamento delle chiavi, modifica dei messaggiVerifica che la chiave pubblica corrisponda alla chiave privata
Problemi relativi a mittenti terziConfigurazione specifica del provider mancanteSegui le istruzioni DKIM del provider
Disallineamenti del selettoreSelettore DNS ≠ selettore intestazione e-mailAssicurarsi che i nomi dei selettori corrispondano esattamente

Rafforza il tuo framework di autenticazione tramite DKIM

DKIM è un elemento fondamentale per rafforzare la sicurezza delle e-mail del tuo dominio. Verificando l'integrità delle tue comunicazioni e-mail tramite firme crittografiche, protegge la reputazione del tuo marchio e difende il tuo dominio da spoofing e phishing che si basano su informazioni falsificate relative al mittente.

Con milioni di domini non protetti in tutto il mondo e un controllo sempre più rigoroso da parte dei provider di posta elettronica, è fondamentale sapere come configurare correttamente DKIM. In combinazione con SPF e DMARC, DKIM offre una protezione più affidabile e rafforza la fiducia nella posta elettronica a tutti i livelli.

Inizia la tua prova gratuita con PowerDMARC per semplificare la configurazione, il monitoraggio e la gestione continua di DKIM.

Domande frequenti

1. Come posso configurare DKIM per la mia email?

Per configurare DKIM per la tua email:

  • Genera una coppia di chiavi DKIM tramite il tuo provider di posta elettronica
  • Scegli un nome selettore univoco
  • Pubblica la chiave pubblica come record TXT nel tuo DNS
  • Abilita la firma DKIM sul tuo server di posta
  • Verificare la configurazione utilizzando uno strumento di convalida DKIM.

2. Come faccio a sapere se DKIM è configurato correttamente?

È possibile verificare la configurazione DKIM utilizzando strumenti di convalida online, inviando e-mail di prova e controllando le intestazioni per i risultati "dkim=pass" e monitorando i rapporti aggregati DMARC per le statistiche di autenticazione DKIM nel traffico e-mail.

3. Qual è un esempio di record DKIM?

Un tipico record TXT DKIM ha il seguente aspetto: "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..." dove v=DKIM1 è la versione, k=rsa specifica il tipo di chiave e p= contiene la chiave pubblica codificata in base64.

4. Quanto tempo occorre affinché DKIM inizi a funzionare?

Dopo aver pubblicato la chiave pubblica DKIM nel DNS, la propagazione può richiedere da pochi minuti fino a 48 ore, a seconda del provider DNS. Una volta che il record è visibile e la firma DKIM è abilitata sul server di posta, tutte le nuove e-mail inviate saranno firmate e autenticate.

5. Come posso verificare se la mia configurazione DKIM funziona?

È possibile verificare DKIM utilizzando uno strumento di ricerca per confermare che il record DNS sia pubblicato correttamente, quindi inviare un'e-mail di prova e controllare le intestazioni del messaggio per verificare che il risultato sia dkim=pass. È inoltre possibile fare affidamento sui report aggregati DMARC, che offrono una visione più ampia dei risultati dell'autenticazione DKIM su tutto il traffico e-mail, non solo su un singolo messaggio.

6. Cosa succede se la verifica DKIM non va a buon fine?

Quando la verifica DKIM fallisce, i server di posta in ricezione potrebbero considerare il messaggio come sospetto. A seconda delle regole di filtraggio dello spam e della impostazioni della politica DMARC , l'e-mail potrebbe essere contrassegnata come spam, messa in quarantena o rifiutata, il che può influire negativamente sulla deliverability e sulla reputazione del mittente.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
Come configurare i record SPF per una maggiore sicurezza delle e-mailspf dkim dmarcSPF, DKIM, DMARC: cosa sono e perché sono importanti