Configurazione DKIM in Office 365: configurare la firma per Microsoft 365
di
Ultimo aggiornamento: 10 10 minuti di lettura
I punti chiave da prendere in considerazione
- Il DKIM aggiunge una firma digitale alle e-mail in uscita, in modo che i server di destinazione possano verificare che il messaggio sia stato inviato da una fonte autorizzata e non sia stato alterato durante il trasferimento.
- Microsoft 365 gestisce automaticamente il DKIM per i domini onmicrosoft.com. La configurazione manuale è necessaria solo per i domini personalizzati e comporta la creazione di due record CNAME nel proprio DNS.
- La firma DKIM viene abilitata tramite il portale di Microsoft Defender dopo che i record CNAME sono stati pubblicati e rilevati.
- Il DKIM da solo non è sufficiente. Dovrebbe sempre essere configurato insieme a SPF e DMARC per garantire un'autenticazione completa delle e-mail e la protezione del dominio.
- Le chiavi DKIM dovrebbero essere sostituite ogni uno o due anni per garantire un elevato livello di sicurezza della posta elettronica.
Se invii e-mail tramite Microsoft 365 e non hai configurato DKIM per il tuo dominio personalizzato, le tue e-mail vengono inviate senza firma digitale. Ciò significa che i server di destinazione non hanno modo di verificare che i tuoi messaggi non siano stati alterati durante il trasferimento e che il tuo dominio è più esposto al rischio di spoofing.
La configurazione di DKIM per Office 365 è uno dei passaggi più importanti per garantire un sistema di posta elettronica sicuro e affidabile.
Questa guida ti spiega tutto: a cosa serve il DKIM, come viene gestito da Microsoft 365 e come configurarlo esattamente per il tuo dominio personalizzato.
Che cos'è il DKIM e perché è importante per Microsoft 365?
Prima di procedere con la procedura di configurazione, è opportuno capire a cosa serve DKIM e perché è un elemento fondamentale della configurazione della posta elettronica di Microsoft 365.
DomainKeys Identified Mail (DKIM) è un protocollo di autenticazione delle e-mail che aggiunge una firma digitale crittografica a ogni e-mail in uscita. Quando viene inviato un messaggio, il dominio firmatario utilizza una chiave privata per generare la firma.
Il server ricevente recupera quindi la chiave pubblica corrispondente dal DNS e la utilizza per verificare che il corpo del messaggio e le intestazioni non siano stati alterati durante il trasferimento.
Cosa fa DKIM per la tua posta elettronica
| Vantaggio | Come funziona |
|---|---|
| Verifica l'integrità del messaggio | La firma crittografica conferma che il messaggio non è stato modificato dopo l'invio |
| Impedisce lo spoofing dei domini | Rende molto più difficile per gli hacker falsificare le e-mail provenienti dal tuo dominio |
| Migliora la consegnabilità delle e-mail | Le e-mail autenticate hanno meno probabilità di essere contrassegnate come spam da Gmail, Yahoo e altri provider |
| Rafforza la fiducia nei confronti del mittente | Una firma DKIM valida indica che il dominio firmatario si assume la responsabilità del messaggio |
| Abilita l'applicazione di DMARC | Il DKIM è un dato obbligatorio affinché il DMARC funzioni correttamente |
Il ruolo di DKIM a fianco di SPF e DMARC
DKIM funziona in combinazione con SPF e DMARC per formare un framework completo di autenticazione delle e-mail. Ogni protocollo copre un livello diverso:
- SPF verifica che il server mittente sia autorizzato a inviare e-mail per il tuo dominio
- DKIM verifica che il contenuto del messaggio non sia stato alterato durante il trasferimento
- DMARC applica la politica richiedendo che SPF e DKIM siano allineati con l'indirizzo del mittente
Affinché DKIM superi i controlli DMARC, il dominio nell'indirizzo "Da" deve corrispondere al dominio utilizzato nella firma DKIM. Questo requisito di allineamento è ciò che rende la combinazione di SPF, DKIM e DMARC sia così efficace contro gli attacchi di phishing e lo spoofing.
Il DKIM da solo non è sufficiente a prevenire tutti i tipi di spoofing delle e-mail. Per garantire una protezione completa, deve essere utilizzato insieme a SPF e DMARC. Più avanti in questa guida spiegheremo come implementare DMARC insieme alla configurazione DKIM di Microsoft 365.
Come Microsoft 365 gestisce il DKIM
Capire come Microsoft 365 gestisce il DKIM per impostazione predefinita ti eviterà inutili confusioni durante la configurazione.
Cosa gestisce automaticamente Microsoft
Microsoft attiva automaticamente la firma DKIM per il dominio onmicrosoft.com iniziale associato al tuo tenant Microsoft 365. Se invii messaggi solo da yourcompany.onmicrosoft.com, DKIM è già attivo senza bisogno di alcuna configurazione manuale.
Cosa richiede una configurazione manuale
È necessaria una configurazione manuale di DKIM per ogni dominio personalizzato utilizzato per l'invio di e-mail.
Se la tua organizzazione invia messaggi da un dominio personalizzato come yourcompany.com, devi creare record CNAME nel tuo DNS e abilitare la firma DKIM tramite il portale di Microsoft Defender.
Ogni sottodominio utilizzato per inviare e-mail da Microsoft 365 richiede inoltre una propria configurazione DKIM. Il protocollo DKIM non si estende automaticamente dal dominio principale ai suoi sottodomini.
Il sistema a due selettori
Microsoft 365 utilizza due selettori DKIM, selector1 e selector2, per ogni dominio personalizzato.
L'uso di due selettori consente a Microsoft di alternare automaticamente le chiavi DKIM per garantire una maggiore sicurezza. Quando si configura DKIM, si creano record CNAME per entrambi i selettori che puntano alle chiavi pubbliche generate da Microsoft 365.
| Il parere di un esperto: “In base alla mia esperienza nell’aiutare le organizzazioni a implementare DKIM, automatizzare il monitoraggio DKIM con PowerDMARC non solo fa risparmiare tempo, ma aiuta anche a individuare gli errori di configurazione prima che incidano sulla deliverability delle email. Ciò è particolarmente importante per le aziende SaaS e i settori regolamentati, dove l’affidabilità delle email è fondamentale.” |
Requisiti per la configurazione di DKIM in Office 365
Prima di avviare la procedura di configurazione DKIM, assicurati che siano presenti i seguenti elementi.
| Prerequisito | Dettagli |
|---|---|
| Accesso amministratore | Per eseguire la configurazione DKIM è necessario disporre dei diritti di amministratore globale o di amministratore di Exchange |
| Dominio personalizzato verificato | Il dominio personalizzato deve essere verificato in Microsoft 365 prima di poter configurare DKIM |
| Accesso al DNS | Per pubblicare i record CNAME è necessario avere accesso al proprio registrar di domini o al proprio provider di hosting DNS |
| SPF configurato | Prima di abilitare DKIM, è necessario che l'SPF sia già configurato per il tuo dominio |
Se l'SPF non è ancora configurato per il tuo dominio, configuralo prima. Per istruzioni dettagliate, consulta la nostra guida su come configurare l'SPF.
Come configurare DKIM per Office 365: guida passo passo
La configurazione di DKIM per un dominio personalizzato in Microsoft 365 prevede tre passaggi principali: recuperare i valori dei record CNAME dal portale di Microsoft Defender, pubblicare tali record nel proprio DNS e abilitare la firma DKIM una volta che i record sono stati rilevati.
La procedura è semplice, ma richiede precisione in ogni fase. Gli errori di battitura nei valori CNAME sono la causa più comune di fallimento della configurazione DKIM, quindi dedica tutto il tempo necessario alla configurazione del DNS.
Passaggio 1: recupera i valori del record CNAME DKIM da Microsoft 365
Microsoft 365 genera i valori esatti dei record CNAME che devi pubblicare nel tuo DNS. Per trovarli:
- Accedi al portale di Microsoft Defender
- Vai a Posta elettronica e collaborazione > Criteri e regole > Criteri relativi alle minacce
- Seleziona Impostazioni di autenticazione e-mail
- Clicca sul scheda scheda
- Seleziona il tuo dominio personalizzato dall'elenco
- Apri il menu a comparsa con i dettagli relativi a quel dominio
Il portale mostrerà i due valori dei record CNAME necessari. Se DKIM non può ancora essere abilitato, il portale indicherà i valori da utilizzare nei record CNAME.
La sintassi di base dei record CNAME DKIM per i domini personalizzati segue questo formato:
| Nome host | Indica |
|---|---|
| selector1._domainkey.tuodominio.com | selector1-il-tuo-dominio-com._domainkey.il-tuo-nome-tenant.onmicrosoft.com |
| selector2._domainkey.tuodominio.com | selector2-il-tuo-dominio-com._domainkey.il-tuo-nome-tenant.onmicrosoft.com |
Utilizza sempre i valori esatti indicati nel portale Defender per il tuo dominio e tenant specifici, non un modello generico.
Passaggio 2: Crea i record CNAME nel tuo DNS
Accedi al tuo registrar di domini o al tuo provider di hosting DNS e crea due nuovi record CNAME utilizzando i valori indicati nel passaggio precedente.
Aspetti fondamentali da verificare durante l'inserimento dei dati:
- Il tipo di record deve essere impostato su CNAME, non TXT né qualsiasi altro tipo
- I valori dei nomi host devono includere il prefisso completo del selettore: selector1._domainkey e selector2._domainkey
- Controlla attentamente che non ci siano errori di battitura nei valori CNAME. Gli errori commessi dal registrar del dominio sono la causa più comune di errori nella configurazione DKIM
- Non inserire più record in conflitto tra loro per lo stesso nome host
La propagazione delle modifiche al DNS a livello globale può richiedere fino a 48 ore, anche se spesso avviene molto più rapidamente. Microsoft 365 potrebbe impiegare da alcuni minuti a qualche ora per rilevare i nuovi record CNAME.
Passaggio 3: Abilitare la firma DKIM nel portale di Microsoft Defender
Una volta che i record CNAME sono stati pubblicati e si sono propagati, torna alla scheda DKIM nel portale di Microsoft Defender:
- Scegli il tuo dominio personalizzato
- Apri il menu a comparsa dei dettagli
- Attiva/Disattiva Firma i messaggi per questo dominio con firme DKIM su Abilitato
Affinché la firma DKIM sia abilitata, lo stato del dominio nella scheda DKIM deve riportare valori validi. Se il portale non riesce a rilevare i tuoi record CNAME, visualizzerà un messaggio di errore insieme ai valori previsti. Verifica attentamente che i tuoi record DNS siano corretti prima di riprovare.
Dopo aver abilitato DKIM, potrebbe essere necessario un po' di tempo prima che lo stato si aggiorni e confermi che le firme DKIM vengano applicate ai messaggi in uscita.
Passaggio 4: Verificare che DKIM funzioni
Per verificare che la firma DKIM sia attiva, invia un'e-mail di prova dal tuo dominio personalizzato a un indirizzo Gmail e controlla l'intestazione del messaggio:
- Apri l'e-mail ricevuta su Gmail
- Clicca sul menu con i tre puntini e seleziona Mostra originale
- Cerca il campo DKIM-Signature nell'intestazione del messaggio grezzo
- Verifica che la firma DKIM sia presente e che il valore d= corrisponda al tuo dominio personalizzato
- Il valore s= nell'intestazione DKIM-Signature identifica il selettore attualmente in uso
Un risultato DKIM positivo nell'intestazione del messaggio conferma che la firma DKIM è attiva e funziona correttamente per il tuo dominio personalizzato.
| Hai bisogno di aiuto per risolvere i problemi relativi al DKIM? I nostri esperti di sicurezza e-mail di PowerDMARC possono aiutarti a risolvere rapidamente i problemi di configurazione DKIM. Inizia la tua prova gratuita per ricevere assistenza da parte di esperti e monitoraggio automatizzato. |
Come configurare DKIM utilizzando PowerShell
Per gli utenti esperti e gli amministratori, Exchange Online PowerShell offre potenti strumenti per gestire e configurare le impostazioni di posta elettronica, compreso DKIM. L'uso dei comandi PowerShell consente di automatizzare la configurazione DKIM, abilitare o disabilitare la firma DKIM per i domini personalizzati e risolvere i problemi in modo efficiente, il che risulta particolarmente utile quando si gestiscono più domini o ambienti complessi.
È possibile utilizzare PowerShell per configurare il DKIM di Exchange Online per Office 365, in particolare se si desidera abilitarlo per più domini. Per farlo:
1. Accedi a Exchange Online
2. Estrarre i selettori DKIM di Office 365 eseguendo il seguente script:
3. Aggiungere al DNS i record CNAME forniti da Office 365.
4. Eseguire il seguente comando per abilitare il DKIM per il dominio:
Aspetti chiave e limitazioni nell'implementazione del DKIM
DKIM è un potente protocollo di autenticazione delle e-mail , ma presenta alcuni vincoli tecnici che è importante comprendere prima e durante l'implementazione.
Conoscere fin dall'inizio questi limiti ti aiuta a evitare gli errori più comuni, a pianificare correttamente la configurazione e a definire aspettative realistiche su ciò che DKIM è in grado di proteggere e ciò da cui non può proteggerti da solo.
| Considerazioni | Cosa devi sapere |
|---|---|
| Lunghezza chiave | Microsoft 365 utilizza per impostazione predefinita chiavi crittografiche a 2048 bit, che garantiscono una protezione efficace per i messaggi in uscita |
| Propagazione del DNS | Dopo aver pubblicato i record CNAME, occorreranno fino a 48 ore affinché le modifiche al DNS si propaghino a livello globale, anche se spesso la propagazione avviene molto più rapidamente |
| Rotazione delle chiavi DKIM | Aggiornare le chiavi DKIM ogni uno o due anni per garantire un elevato livello di sicurezza della posta elettronica e ridurre il rischio che le chiavi obsolete vengano sfruttate |
| Più domini | Ogni dominio personalizzato utilizzato per l'invio di e-mail richiede una configurazione DKIM distinta. Il DKIM non si estende automaticamente dal dominio principale ai suoi sottodomini |
| Domini inutilizzati | Non pubblicare record DKIM per domini che non inviano mai e-mail. Ciò potrebbe consentire la convalida DKIM di messaggi contraffatti inviati da tali domini |
Limiti del DKIM
Capire quali sono i limiti di DKIM è importante tanto quanto sapere come funziona. Proprio a causa di questi limiti, DKIM dovrebbe sempre essere implementato insieme a SPF e DMARC, anziché essere considerato una soluzione a sé stante.
Inoltro delle e-mail
Le firme DKIM possono andare perse durante l'inoltro delle e-mail. Quando un messaggio viene inoltrato, alcuni server di posta modificano l'intestazione o il corpo del messaggio in modi che rendono non valida la firma DKIM originale.
Questo è uno dei motivi principali per cui DMARC richiede l'allineamento sia di SPF che di DKIM, anziché basarsi su uno solo dei due.
Modifica del messaggio
Qualsiasi modifica al contenuto dell'e-mail dopo la firma invaliderà la firma DKIM. Ciò include le modifiche apportate da mailing list, gateway di posta elettronica o strumenti di filtraggio dei contenuti che alterano il corpo del messaggio o determinati campi dell'intestazione prima della consegna.
Servizi di invio di terze parti
I servizi di posta elettronica esterni che inviano messaggi per tuo conto, come piattaforme di marketing, CRM e strumenti di assistenza, potrebbero richiedere ulteriori configurazione DKIM.
In genere, ogni mittente esterno deve firmare i messaggi in uscita utilizzando il tuo dominio o il proprio, e questo deve essere verificato e preso in considerazione nella tua configurazione generale di autenticazione delle e-mail.
Ambienti ibridi
Le organizzazioni che utilizzano una combinazione di Exchange on-premise e Microsoft 365 in un ambiente ibrido potrebbero dover prestare particolare attenzione durante la configurazione della firma DKIM.
I messaggi instradati tramite server locali prima di raggiungere Microsoft 365 possono comportarsi in modo diverso rispetto all'invio esclusivamente tramite cloud, pertanto la configurazione DKIM dovrebbe tenere conto dell'intero flusso dei messaggi prima di abilitare la firma.
Configura DKIM per Office 365 nel modo giusto con PowerDMARC!
Perché PowerDMARC?
«PowerDMARC ha reso la nostra implementazione di DKIM semplicissima e ci ha garantito la massima tranquillità grazie al monitoraggio automatico.» – Responsabile IT, azienda FinTech
|
Configura DKIM e ottieni il massimo con PowerDMARC
L'attivazione della firma DKIM per il tuo dominio personalizzato di Microsoft 365 è un passo fondamentale per proteggere la tua posta elettronica. Tuttavia, il DKIM da solo copre solo una parte del quadro.
Senza DMARC, che garantisce la conformità e offre visibilità sul traffico e-mail, il tuo dominio rimane esposto a attacchi di spoofing e furto d'identità che DKIM da solo non è in grado di bloccare.
PowerDMARC semplifica il passaggio dalla configurazione DKIM all' applicazione completa del DMARC. Con DMARC in hosting, reportistica automatizzata e una piattaforma progettata per semplificare ogni fase dell'autenticazione delle email, PowerDMARC ti offre una visibilità completa su chi sta inviando email a tuo nome e gli strumenti per proteggere il tuo dominio in modo definitivo.
Prova gratuitamente versione di prova gratuita di DMARC per valutare subito i vantaggi.
Domande frequenti
1. Come posso assicurarmi che DKIM sia abilitato per tutti i domini di Exchange Online?
Per verificare che il DKIM sia abilitato per tutti i domini di Exchange Online, controllate il portale Microsoft Defender in E-mail e collaborazione > Criteri e regole > Criteri sulle minacce > DKIM. Verificate che il DKIM sia attivato per ogni dominio personalizzato.
2. Come ruotare le chiavi DKIM in Office 365?
Per effettuare la rotazione delle chiavi DKIM in Office 365, è necessario generare nuovi record CNAME per le nuove chiavi nel proprio DNS e quindi abilitare la firma DKIM per tali chiavi nel portale di Microsoft Defender. Questa procedura contribuisce a migliorare la sicurezza aggiornando periodicamente le chiavi crittografiche che firmano le e-mail.
3. Con quale frequenza è consigliabile aggiornare le chiavi DKIM?
Si consiglia di ruotare le chiavi DKIM ogni 1-2 anni, o prima se si sospetta che le chiavi siano state compromesse. La rotazione regolare aiuta a mantenere una forte sicurezza delle e-mail e impedisce agli aggressori di sfruttare le vecchie chiavi.
4. Qual è la lunghezza consigliata per le chiavi dei record DKIM?
Microsoft Office 365 utilizza di default chiavi DKIM a 2048 bit, che garantiscono un elevato livello di sicurezza e sono considerate lo standard attuale del settore. Questa lunghezza della chiave offre un'eccellente protezione contro gli attacchi crittografici, mantenendo al contempo buone prestazioni.
5. In che modo SPF, DKIM e DMARC collaborano per proteggere la posta elettronica?
SPF autorizza i server mittenti, DKIM verifica l'integrità dei messaggi tramite firme digitali e DMARC garantisce l'applicazione delle politiche combinando i risultati di SPF e DKIM. Insieme, creano un quadro completo di autenticazione delle e-mail che protegge da spoofing e phishing e assicura che le e-mail legittime raggiungano i destinatari previsti.
6. Cosa devo fare se le firme DKIM non compaiono nelle mie e-mail in uscita?
Se le firme DKIM non compaiono nelle tue e-mail in uscita, verifica che il protocollo DKIM sia abilitato sul tuo servizio di invio e che la chiave pubblica DKIM corretta sia pubblicata nel tuo DNS. Assicurati inoltre che il selettore corrisponda e che le modifiche al DNS siano state propagate completamente. Se il problema persiste, controlla le impostazioni del tuo server di posta elettronica oppure contatta il tuo provider di posta elettronica.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
