Messaggi

La rotazione delle chiavi DKIM è il processo di aggiornamento delle tue chiavi DKIM. Dovresti ruotare le tue chiavi periodicamente - il periodo esatto non è importante, ma lo è il processo stesso. Perché dovreste farlo? La rotazione delle chiavi si riferisce alla creazione di nuove chiavi e all'aggiornamento dei record DNS con queste nuove chiavi. Lo scopo di ruotare le chiavi DKIM è simile al motivo per cui potreste cambiare le vostre password periodicamente: è una misura di sicurezza che aiuta a prevenire che gli aggressori impersonino il vostro dominio e inviino spam o email di phishing.

Diamo un'occhiata al perché si usano le chiavi DKIM in primo luogo.

Perché si usano le chiavi DKIM?

DKIM sta per DomainKeys Identified Mail. È un modo per aggiungere un ulteriore livello di sicurezza al tuo server di posta elettronica in modo che le tue e-mail non vengano contrassegnate come spam e finiscano nelle cartelle di spam. Il modo migliore per pensare al DKIM è come un identificatore crittografato allegato ai tuoi messaggi in modo che i destinatari possano verificare che il messaggio sia stato effettivamente inviato da te, la persona che sostiene di provenire. Questo identificatore, o chiave, è ciò che permette loro di verificarlo.

Come funziona DKIM?

DKIM funziona aggiungendo questo identificatore ad ogni email che viene inviata. Quando qualcuno riceve una di queste e-mail, può controllare l'intestazione o il piè di pagina del messaggio e trovare una stringa di numeri e lettere, che è l'identificatore criptato o chiave DKIM. Prima che un'e-mail venga inviata al suo destinatario, il server di posta elettronica del mittente firma ogni e-mail con una firma digitale, che viene poi convalidata dal server di posta elettronica ricevente. Questo processo prova che l'e-mail non è stata manomessa o alterata in alcun modo. 

Quando invii la tua e-mail, la firma è allegata come intestazione alla fine del messaggio. I server dei destinatari usano le chiavi pubbliche (fornite dai proprietari dei domini attraverso i record DNS) per decifrare e verificare queste firme.

Perché la rotazione delle chiavi DKIM è importante per la sicurezza del tuo dominio?

La rotazione delle chiavi DKIM è quando inizi a usare una nuova coppia di chiavi private/pubbliche per firmare e autenticare il tuo messaggio e poi smetti di usare la vecchia coppia di chiavi private/pubbliche.

Perché è importante? Beh, se qualcuno fosse in grado di ottenere l'accesso alla tua chiave privata, potrebbe effettivamente usarla per inviare email fraudolente che sembrano provenire da te! Per prevenire questo tipo di attività malevole, è meglio ruotare le tue chiavi ogni pochi mesi.

Per capire meglio l'importanza della rotazione delle chiavi DKIM, diamo un'occhiata a questo esempio: 

Diciamo che invii una campagna di email per una vendita natalizia nel tuo negozio. Usate le vostre chiavi DKIM per firmare le vostre email, ma se inviate abbastanza email usando la stessa coppia di chiavi nel tempo, i cattivi attori potrebbero alla fine intercettarne e decodificarne una, dato che ogni messaggio usa lo stesso algoritmo di hash crittografico. Una volta che hanno la tua chiave pubblica, possono iniziare a firmare le loro email di phishing con essa senza che tu lo sappia! Ecco perché la rotazione periodica delle chiavi DKIM è fondamentale per la sicurezza del tuo dominio.

Come potete ruotare le vostre chiavi DKIM?

1. Rotazione manuale della chiave DKIM

Puoi ruotare manualmente le tue chiavi DKIM di tanto in tanto creando nuove chiavi per il tuo dominio. Per farlo segui questi passi: 

  • Vai al nostro generatore di record DKIM gratuito generatore di record DKIM strumento
  • Inserisci le informazioni del tuo dominio e inserisci il selettore DKIM desiderato di tua scelta 
  • Premi il pulsante "Genera 
  • Copia la tua nuova coppia di chiavi DKIM 
  • La chiave pubblica deve essere pubblicata sul tuo DNS, sostituendo il tuo record precedente
  • La chiave privata deve essere condivisa con il tuo ESP (se stai esternalizzando le tue email) o caricata sul tuo server email (se gestisci il trasferimento delle email in sede) 

2. Delega della chiave DKIM del sottodominio

I proprietari di domini possono esternalizzare la rotazione delle chiavi DKIM permettendo a una terza parte di gestirla per loro. Questo avviene quando il proprietario del dominio delega un sottodominio dedicato a un fornitore di posta elettronica e chiede loro di generare una coppia di chiavi DKIM per loro conto. Questo permette ai proprietari di evitare il fastidio della rotazione delle chiavi DKIM esternalizzando la responsabilità a una terza parte. 

Questo però può causare problemi di override delle policy con le voci DMARC. Si raccomanda che le chiavi ruotate siano monitorate e riviste dai controllori di dominio per assicurare un'implementazione regolare e senza errori. 

3. Delega di chiave DKIM CNAME

CNAME sta per nome canonico, e sono record DNS che vengono utilizzati per puntare ai dati di un dominio esterno. La delega CNAME permette ai proprietari di domini di puntare alle informazioni dei record DKIM che sono mantenuti da qualsiasi terza parte esterna. Questo è simile alla delega di sottodominio, poiché il proprietario del dominio è solo tenuto a pubblicare alcuni record CNAME sul proprio DNS, mentre l'infrastruttura DKIM e la rotazione delle chiavi DKIM sono gestite dalla terza parte a cui il record punta. 

Per esempio, 

"domain.com" è il dominio da cui le email originarie devono essere firmate, e "third-party.com" è il fornitore che gestirà il processo di firma. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Il suddetto record CNAME deve essere pubblicato nel DNS del proprietario del dominio. 

Ora, s1.domain.com.third-party.com ha già un record DKIM pubblicato sul suo DNS che può essere: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Queste informazioni saranno utilizzate per firmare le e-mail provenienti da domain.com. 

Nota: È necessario pubblicare più record DKIM (raccomandato: almeno 3 record CNAME) con diversi selettori sul tuo DNS per permettere la rotazione delle chiavi DKIM. Questo permetterà al tuo fornitore di passare da una chiave all'altra durante la firma e di fornire loro delle opzioni alternative.

4. Rotazione automatica della chiave DKIM

La maggior parte dei venditori di email e dei fornitori di servizi email di terze parti abilitano la rotazione automatica delle chiavi DKIM per i clienti. Per esempio, se stai usando Office 365 per instradare le tue email, sarai felice di sapere che Microsoft supporta la rotazione automatica delle chiavi DKIM per i suoi utenti di Office 365. 

Abbiamo coperto un documento completo su come abilitare la rotazione delle chiavi DKIM per le tue email di Office 365 sulla nostra knowledge base. 

Vantaggi della rotazione automatica delle chiavi DKIM

  • Non devi fare nulla da parte tua se il tuo fornitore permette la rotazione automatica delle chiavi DKIM. Tutto è gestito da loro. 
  • Le configurazioni manuali sono soggette a errori umani.
  • La rotazione automatica dei tasti è rapida ed efficace e non richiede alcuna interferenza da parte vostra. 
  • Il sistema di gestione DKIM è completamente esternalizzato e gestito da una terza parte.

Implementare una strategia di rotazione delle chiavi DKIM

Lo chiamiamo il "3 D della rotazione delle chiavi DKIM":

  • Discutere 
  • Decidere
  • Distribuire 

Questo riassume un'efficace strategia di rotazione delle chiavi DKIM per i vostri domini. Quando vi avvalete di un qualsiasi servizio di terze parti per le vostre email e il vostro fornitore gestisce la rotazione per voi, assicuratevi di avere una discussione aperta e trasparente su quando e quanto frequentemente volete ruotare le vostre chiavi. Dovreste avere voce in capitolo per quanto riguarda le tempistiche così come la dimensione che volete usare per la vostra chiave selettiva (se volete usare 1024 bit o 2048 bit per una maggiore sicurezza). 

Una volta passata la fase di discussione, voi e il vostro fornitore dovete decidere insieme quale sia la vostra strategia e infine procedere all'implementazione della stessa.