DKIM è l'abbreviazione di DomainKeys Identified Mail, un protocollo di autenticazione delle e-mail che funziona utilizzando una firma digitale crittografata. È anche un protocollo complementare che può essere abbinato alla vostra politica DMARC.
Il protocollo DKIM può essere implementato impostando un record nel DNS, composto da una combinazione di tag DKIM e dei loro valori corrispondenti. In questo blog, ci addentriamo in spiegazioni dettagliate dei tag di firma DKIM obbligatori, opzionali, consigliati e sconsigliati, con esempi.
Cosa sono i tag DKIM?
I tag DKIM sono istruzioni nel record DKIM che specificano i dettagli del mittente per la verifica della firma digitale.
Una firma DKIM correttamente configurata consente ai provider di servizi e-mail di autenticare i vostri messaggi di posta elettronica. Giganti tecnologici come Google e Yahoo hanno imposto questo protocollo ai mittenti di e-mail per prevenire lo spam, phishing e spoofing.
Come funzionano i tag di firma DKIM
Il server del destinatario utilizza i dati presenti nell'intestazione dell'e-mail e il codice ufficiale del dominio DKIM per verificare l'autenticità dei messaggi e-mail. All'e-mail in uscita viene aggiunta un'intestazione di firma DKIM. Più tag di firma DKIM contengono informazioni sul mittente, in modo che il server del destinatario sappia dove guardare per verificare un'e-mail.
Questi tag di firma DKIM sono la componente informativa che visualizza valori specifici, ognuno dei quali rappresenta dettagli sul corpo dell'e-mail. Tutte le DomainKey hanno una chiave privata utilizzata per criptare le firme digitali DKIM. Oltre a questa, hanno anche una chiave pubblica pubblicata nel DNS del dominio.
Pertanto, ogni volta che si inviano e-mail dal proprio dominio, la chiave privata delle e-mail deve corrispondere alla chiave pubblica. In caso contrario, il messaggio non raggiungerà le caselle di posta dei destinatari. Si tratta di un processo molto rapido che non richiede più di qualche secondo. Tuttavia, funziona solo se si genera un record DKIM e si aggiungono i tag DNS DKIM corretti.
Spiegazione dei tag dei record DKIM
I tag dei record DNS DKIM sono lettere singole utilizzate come comandi e seguite da un segno di uguale. Tutte le lettere hanno un tag DKIM che designa valori specifici che rappresentano informazioni sul mittente. Ogni tag di firma DKIM include dettagli sulla posizione della chiave pubblica utilizzata per criptare i messaggi.
Tipi di tag DKIM
È possibile classificare i tag di firma DKIM in "tag obbligatori" e "tag opzionali" e il valore di ciascuno di essi è importante per la generazione di un record DKIM. Esistono altri tag di firma DKIM classificati come "non necessari" o "non consigliati". È possibile impostarli a seconda dell'utilità o dei requisiti di ciascun dominio. Per aggiungere un record DKIM al proprio DNS, è necessario disporre dei giusti tag di autenticazione DKIM. Vediamo nel dettaglio questi tag.
Tag DKIM obbligatori
I tag Required DKIM sono così importanti per l'intestazione della firma DKIM che il messaggio non supererà il test di verifica senza di essi. La casella di posta elettronica del destinatario scarterà le e-mail prive di questi tag.
- v= È il tag della versione DKIM che indica lo standard DKIM utilizzato. Il suo valore è sempre impostato su 1.
- a= Questo tag DKIM indica l'algoritmo crittografico utilizzato per creare la firma. Il valore utilizzato è rsa-sha256. Se il computer ha capacità di CPU ridotte, è possibile utilizzare rsa-sha1. Tuttavia, per motivi di sicurezza, non è consigliato.
- s= Indica il tag del selettore DKIM utilizzato per trovare la chiave pubblica nel DNS di un dominio. In questo campo si inserisce un nome o un numero.
- d= Il tag dominio DKIM mostra il dominio utilizzato con il record selettore per individuare le chiavi pubbliche. Il suo valore è uguale al nome di dominio utilizzato dal mittente.
- b= Il tag body DKIM è utilizzato per i dati hash dell'intestazione. Di solito è abbinato al tag h= per redigere la firma DKIM. È sempre codificato in Base64.
- bh= Il tag hash del corpo DKIM contiene l'hash calcolato delle e-mail. Il suo valore è una stringa di caratteri che indica un hash determinato da un algoritmo.
- h= Questo tag elenca le intestazioni viste nell'algoritmo di firma per generare l'hash nel tag b=. Il suo valore non può essere né rimosso né modificato.
Tag DKIM opzionali
Oltre ai tag della firma DKIM, esistono diversi tag opzionali. Ciò significa che se la firma DKIM non contiene questi tag, non si verificherà alcun errore al momento della verifica. Tuttavia, gli esperti raccomandano di utilizzarli per evitare lo spoofing delle e-mail.
Gli spoofers non assegnano valori temporali, a differenza delle e-mail aziendali autentiche. Pertanto, se la casella di posta elettronica nota valori temporali errati per un mittente, è più probabile che rifiuti completamente l'e-mail.
Tag DKIM facoltativi ma consigliati
Si consiglia di utilizzare questi tag di record DKIM raccomandati, in quanto aiutano il server del destinatario nel processo di verifica.
- g= Funziona come granularità della chiave pubblica e il suo valore è lo stesso della parte locale dell'etichetta i=. È possibile inserire anche un asterisco (*) come carattere jolly. Questo tag DKIM blocca gli indirizzi di firma dall'uso dei record del selettore. Qualsiasi e-mail con un indirizzo di firma non corrispondente a questo tag non viene verificata.
- h= Indica un algoritmo di hash accettabile e ha valori specifici impostati su "sha1" e "sha256". I firmatari e i verificatori ne hanno bisogno.
- k= È il tipo di chiave. Il suo valore predefinito è impostato su "rsa", che dovrebbe essere supportato dai firmatari e dai verificatori.
- n= Gli amministratori usano questo tag per aggiungere note leggibili.
- t= È un tag importante, in quanto funziona come timestamp della firma che indica l'ora di invio dell'e-mail. Il formato di questo tag è in secondi numerati dalle 00:00:00 del 1° gennaio 1970 (UTC).
- x= Questo tag indica la data di scadenza della firma. Completa il tag t= assegnando una data di consegna.
- t=y Serve a specificare una firma di prova del dominio e viene utilizzata dai mittenti quando il DKIM viene impostato per la prima volta. È suggerito poiché alcuni provider di caselle postali trascurano le firme DKIM in modalità di test. È necessario rimuovere il tag prima della distribuzione completa.
- t=s è la sostituzione del tag t=y. Dice che qualsiasi firma DKIM che utilizza il tag i= deve avere lo stesso valore di dominio del dominio primario.
Non richiesto
Questi tag di firma DKIM non sono necessari se si crea un'intestazione DKIM per la prima volta. Essi tendono a rendere la firma DKIM tecnica e complessa.
- c= è un tag del record DKIM che funziona come algoritmo di canonicalizzazione e descrive i livelli di modifica di un'e-mail durante il transito verso un altro provider di caselle di posta. Viene utilizzato per evitare modifiche minori alle e-mail in transito. Ciò può causare un fallimento della verifica. Le modifiche includono gli spazi bianchi o gli incarti di riga.
Il suo valore è impostato su valore1 o valore2. Il valore1 è destinato all'intestazione, mentre il valore2 è destinato al corpo del messaggio. Questi possono essere impostati su "semplice" o "rilassato" per specificare la tolleranza alle modifiche nell'e-mail.
- i= rappresenta l'identità dell'utente o dell'agente. Il suo valore è l'indirizzo e-mail con un dominio e un sottodominio del vostro sito web, che è lo stesso del tag d=.
Non consigliato
Questi tag DNS DKIM non sono necessari per nessuna intestazione DKIM. Vengono utilizzati solo quando si deve controllare una delle specifiche menzionate di seguito;
- l= Il tag DKIM length facilita la firma parziale del corpo del messaggio indicata dal numero di bit da firmare. Questo tag è sconsigliato perché rende il messaggio vulnerabile alle manomissioni.
- z= elenca le intestazioni originali dei messaggi e viene utilizzato dai provider di caselle postali per gestire gli errori di verifica della diagnosi.
Considerazioni finali
L'implementazione e la gestione del protocollo DKIM possono richiedere competenze, tempo e sforzi che spesso vanno ben oltre la vostra larghezza di banda. Ecco perché le aziende scelgono la nostra soluzione DKIM in hosting. Vi aiutiamo a generare i record DKIM, a impostare i tag di firma DKIM e a gestire i selettori e le chiavi DKIM su un'unica piattaforma!
Inoltre, forniamo assistenza esperta nella configurazione di protocolli complementari quali DMARC e SPF per rafforzare le vostre difese contro gli attacchi basati sulle e-mail.
Per saperne di più e per ottenere una strategia di sicurezza del dominio personalizzata per le organizzazioni, provata e testata per migliorare la vostra deliverability, contattate il nostro sito web. contattateci oggi stesso!
- Studio di caso DMARC MSP: CloudTech24 semplifica la gestione della sicurezza del dominio per i clienti con PowerDMARC - 24 ottobre 2024
- I rischi per la sicurezza dell'invio di informazioni sensibili via e-mail - 23 ottobre 2024
- 5 tipi di truffe via e-mail per la sicurezza sociale e come prevenirle - 3 ottobre 2024