I tag DKIM sono meccanismi o comandi utilizzati nel record DKIM per indicare informazioni specifiche sul protocollo DKIM configurato del mittente. DKIM è l'acronimo di DomainKeys Identified Mail, un protocollo di autenticazione delle e-mail che funziona utilizzando una firma digitale crittografata. È anche fondamentale per implementare e far funzionare correttamente il criterio politica DMARC.
Una firma DKIM correttamente allineata consente ai provider di servizi e-mail di verificare il vostro dominio. Giganti tecnologici come Google e Yahoo utilizzano questo protocollo per prevenire il phishing e spoofing.
Come funziona il DKIM?
Il server del destinatario utilizza i dati contenuti nell'intestazione dell'e-mail e il record DKIM ufficiale del dominio per verificare l'autenticità dei messaggi e-mail. L'intestazione della firma DKIM è posta all'inizio di un messaggio di posta elettronica. Esistono più tag DKIM che contengono informazioni sul mittente, in modo che il server del destinatario sappia dove guardare per verificare un'e-mail.
Questi tag sono la componente informativa che visualizza valori specifici, ognuno dei quali rappresenta dettagli sul corpo dell'email. Tutte le DomainKey hanno una chiave privata utilizzata per criptare le firme digitali DKIM. Oltre a questa, hanno anche una chiave pubblica pubblicata nel DNS del dominio.
Pertanto, ogni volta che si inviano e-mail dal proprio dominio, la chiave privata delle e-mail deve corrispondere alla chiave pubblica. In caso contrario, il messaggio non raggiungerà le caselle di posta dei destinatari. Si tratta di un processo molto rapido che non richiede più di qualche secondo. Tuttavia, funziona solo se si genera un record DKIM e si aggiungono i tag di autenticazione DKIM corretti.
Che cos'è un tag nel record DKIM?
I tag dei record DKIM sono lettere singole utilizzate come comandi e seguite da un segno di uguale. Tutte le lettere hanno un tag DKIM che designa valori specifici che rappresentano informazioni sul mittente. Ogni tag include dettagli sulla posizione della chiave pubblica utilizzata per criptare i messaggi.
Tipi di tag DKIM
È possibile classificare i tag DKIM in "tag obbligatori" e "tag opzionali" e il valore di ciascuno di essi è importante per la generazione di un record DKIM. Esistono altri tag DKIM classificati come "non necessari" o "non consigliati". È possibile impostarli a seconda dell'utilità o dei requisiti di ciascun dominio. Per aggiungere un record DKIM al proprio DNS è necessario utilizzare i tag di autenticazione DKIM corretti. Vediamo nel dettaglio questi tag.
Tag richiesti
I tag Required DKIM sono così importanti per l'intestazione della firma DKIM che il messaggio non supererà il test di verifica senza di essi. La casella di posta elettronica del destinatario scarterà le e-mail prive di questi tag.
- v= È il tag della versione che indica lo standard DKIM utilizzato. Il suo valore è sempre impostato su 1.
- a= Questo tag DKIM indica l'algoritmo crittografico utilizzato per creare la firma. Il valore utilizzato è rsa-sha256. Se il computer ha capacità di CPU ridotte, è possibile utilizzare rsa-sha1. Tuttavia, per motivi di sicurezza, non è consigliato.
- s= Indica il nome del record del selettore utilizzato per trovare la chiave pubblica nel DNS di un dominio. In questo campo si inserisce un nome o un numero.
- d= Visualizza il dominio utilizzato con il record del selettore per individuare le chiavi pubbliche. Il suo valore corrisponde al nome del dominio utilizzato dal mittente.
- b= Questo tag DKIM è utilizzato per i dati hash dell'intestazione. Di solito è abbinato al tag h= per redigere la firma DKIM. È sempre codificato in Base64.
- bh= Contiene l'hash calcolato delle e-mail. Il suo valore è una stringa di caratteri che indica un hash determinato da un algoritmo.
- h= Questo tag elenca le intestazioni viste nell'algoritmo di firma per generare l'hash nel tag b=. Il suo valore non può essere né rimosso né modificato.
Tag opzionali
Oltre ai tag della firma DKIM, esistono diversi tag opzionali. Ciò significa che se la firma DKIM non contiene questi tag, non si verificherà alcun errore al momento della verifica. Tuttavia, gli esperti raccomandano di utilizzarli per evitare lo spoofing delle e-mail.
Gli spoofers non assegnano valori temporali, a differenza delle e-mail aziendali autentiche. Pertanto, se la casella di posta elettronica nota valori temporali errati per un mittente, è più probabile che rifiuti completamente l'e-mail.
Tag consigliati
È consigliabile utilizzare i tag dei record DKIM consigliati, in quanto aiutano il server del destinatario nel processo.
- g= Funziona come granularità della chiave pubblica e il suo valore è lo stesso della parte locale dell'etichetta i=. È possibile inserire anche un asterisco (*) come carattere jolly. Questo tag DKIM blocca gli indirizzi di firma dall'uso dei record del selettore. Qualsiasi e-mail con un indirizzo di firma non corrispondente a questo tag non viene verificata.
- h= Indica un algoritmo di hash accettabile e ha valori specifici impostati su "sha1" e "sha256". Questi sono necessari per i firmatari e i verificatori.
- k= È il tipo di chiave. Il suo valore predefinito è impostato su "rsa", che dovrebbe essere supportato dai firmatari e dai verificatori.
- n= Gli amministratori usano questo tag per aggiungere note leggibili.
- t= È un tag importante, in quanto funziona come timestamp della firma che indica l'ora di invio dell'e-mail. Il formato di questo tag è in secondi numerati dalle 00:00:00 del 1° gennaio 1970 (UTC).
- x= Questo tag indica la data di scadenza della firma. Completa il tag t= assegnando una data di consegna.
- t=y Serve a specificare una firma di prova del dominio e viene utilizzata dai mittenti quando il DKIM viene impostato per la prima volta. È suggerito perché alcuni provider di caselle postali trascurano le firme DKIM in modalità di test. È necessario rimuovere il tag prima della distribuzione completa.
- t=s è la sostituzione del tag t=y. Dice che qualsiasi firma DKIM che utilizza il tag i= deve avere lo stesso valore di dominio del dominio primario.
Non richiesto
Questi tag DKIM non sono necessari se si crea un'intestazione DKIM per la prima volta. Essi tendono a rendere la firma DKIM tecnica e complessa.
- c= è un tag del record DKIM che funziona come algoritmo di canonicalizzazione e descrive i livelli di modifica di un'e-mail durante il transito verso un altro provider di caselle di posta. Viene utilizzato per evitare modifiche minori alle e-mail in transito. Ciò può causare un fallimento della verifica. Le modifiche includono gli spazi bianchi o gli incarti di riga.
Il suo valore è impostato su valore1 o valore2. Il valore1 è destinato all'intestazione, mentre il valore2 è destinato al corpo del messaggio. Questi possono essere impostati su "semplice" o "rilassato" per specificare la tolleranza alle modifiche nell'e-mail.
- i= rappresenta l'identità dell'utente o dell'agente. Il suo valore è l'indirizzo e-mail con un dominio e un sottodominio del vostro sito web, che è lo stesso del tag d=.
Non consigliato
Questi tag DKIM non sono necessari per nessuna intestazione DKIM. Vengono utilizzati solo quando si deve controllare una delle specifiche menzionate di seguito;
- I= Specifica il numero di caratteri del messaggio usati per contare l'hash del corpo. Senza questo valore, si dovrà assumere che venga utilizzato l'intero corpo del messaggio.
- z= elenca le intestazioni originali dei messaggi e viene utilizzato dai provider di caselle postali per gestire gli errori di verifica della diagnosi.
