Cos'è il DKIM e come funziona il DKIM?

DKIM è un modo efficace per garantire che le vostre e-mail non vengano manomesse mentre vengono consegnate. I metodi e i protocolli di autenticazione basati sul dominio sono molto efficaci contro gli attacchi informatici basati sulle e-mail, che sono diventati sempre più comuni, soprattutto con l'aumento del lavoro a distanza. L'e-mail rimane una forma dominante di comunicazione aziendale, ma è anche un vettore primario per attacchi come il phishing, rendendo cruciale una solida verifica. È importante notare che l'autenticazione via e-mail non è infallibile e gli aggressori possono ancora trovare il modo di aggirare queste misure. Pertanto, è sempre una buona idea essere cauti quando si aprono i messaggi di posta elettronica, soprattutto quelli che contengono link o allegati. DKIM è uno dei protocolli progettati per combattere queste minacce.

Si basa sulla crittografia a chiave pubblica e funziona aggiungendo una firma digitale all'intestazione del messaggio, in genere firmando intestazioni come "Da", "A", "Oggetto" e "Data". Quando il destinatario riceve un'e-mail con DKIM, controlla la firma digitale utilizzando la chiave pubblica pubblicata nel DNS del mittente per assicurarsi che sia valida. Se lo è, sa che il messaggio è rimasto inalterato durante il trasferimento e che proviene realmente dal dominio dichiarato.

Cos'è DKIM?

DKIM è l'acronimo di DomainKeys Identified Mail. È un protocollo di autenticazione delle e-mail che consente ai mittenti di impedire che il contenuto delle e-mail venga alterato durante il processo di consegna. Nato dalla fusione di DomainKeys (di Yahoo) e Identified Internet Mail (di Cisco) nel 2004, DKIM è diventato una tecnica ampiamente adottata.

Si basa sulla crittografia a chiave pubblica e funziona aggiungendo una firma digitale all'intestazione del messaggio. Quando il destinatario riceve un'e-mail con DKIM, controlla la firma digitale per assicurarsi che sia valida. Se lo è, sa che il messaggio è rimasto inalterato durante il trasferimento. I principali provider, come Google, Microsoft e Yahoo, verificano la presenza di firme DKIM nella posta in arrivo. Ad esempio, i nuovi mittenti che trasmettono e-mail agli utenti di Gmail sono ora tenuti da Google a impostare almeno SPF o DKIM. Google effettua controlli casuali sui messaggi in arrivo e le e-mail prive di questi metodi di autenticazione possono essere rifiutate con un errore 5.7.26 o contrassegnate come spam.

Che cos'è un'intestazione DKIM?

L'intestazione DKIM è una parte di un'e-mail che contiene la firma crittografica DKIM. Questa firma viene aggiunta dal server di posta del mittente, in particolare dall'agente di trasferimento della posta (MTA), che crea una stringa di caratteri univoca chiamata valore di hash in base al contenuto e alle intestazioni del messaggio. Durante il processo di autenticazione, il campo della firma nell'intestazione DKIM aiuta a verificare l'autenticità dei messaggi in uscita. Aiuta i destinatari a confermare che l'e-mail è autentica e proviene da un mittente legittimo.

Cosa sono le chiavi DKIM?

Le chiavi DKIM sono coppie di chiavi crittografiche private e pubbliche utilizzate per l'autenticazione DKIM.

• Chiave pubblica: La chiave pubblica DKIM è memorizzata nel DNS del mittente (come record TXT) e viene utilizzata dai server di posta ricevuti per verificare le firme DKIM.
• Chiave privata: La chiave privata DKIM viene mantenuta al sicuro sul server di posta del mittente e viene utilizzata per generare e aggiungere la firma digitale a ogni messaggio in uscita come parte dell'intestazione DKIM.

Come funziona DKIM?

Durante il processo di autenticazione DKIM, il dominio del mittente genera una coppia di chiavi crittografiche e, quando viene inviata un'e-mail, il server di invio (MTA) aggiunge una firma DKIM all'intestazione del messaggio utilizzando la chiave privata. Questa firma include un valore di hash di parti selezionate dell'e-mail.

Il dominio del mittente pubblica la chiave pubblica corrispondente in un record DNS. Alla ricezione dell'e-mail, il server del destinatario recupera la firma DKIM dall'intestazione, interroga il DNS per la chiave pubblica e la utilizza per decifrare il valore hash della firma. Il server ricevente calcola quindi autonomamente il proprio valore di hash dalle intestazioni e dal corpo dell'e-mail ricevuta. Confronta questo hash ricalcolato con l'hash decifrato della firma. Se i due valori hash coincidono, la firma è valida e conferma che l'e-mail è autentica, non è stata alterata ed è stata inviata dal dominio indicato, proteggendo così da falsificazioni e manomissioni.

Come si fa a sapere che il DKIM funziona?

Per verificare che il DKIM funzioni effettivamente per il vostro dominio, potete utilizzare un controllo DKIM per verificare la vostra configurazione. Provate a utilizzare il nostro strumento gratuito di verifica DKIM qui. Inoltre, monitorate i rapporti aggregati DMARC, che forniscono informazioni sui risultati dell'autenticazione DKIM per le e-mail che dichiarano di provenire dal vostro dominio. Il controllo dei log delle query DNS per i vostri record DKIM può anche indicare la frequenza con cui i server di ricezione recuperano la vostra chiave pubblica.

Che cos'è un record DKIM?

Un record DKIM è un insieme di istruzioni a livello di macchina pubblicate come record TXT nelle impostazioni DNS del dominio. Contiene la chiave pubblica corrispondente alla chiave privata utilizzata per la firma. Questo record indica a Internet che i messaggi che affermano di provenire dal vostro dominio possono essere verificati utilizzando questa chiave, consentendo ai server di posta di confermare che un messaggio non è stato alterato durante il percorso verso la destinazione e proviene da una fonte autenticata.

Firma DKIM

A firma DKIM è una firma crittografica aggiunta all'intestazione di un messaggio e-mail che ne verifica l'autenticità e garantisce che non sia stato manomesso durante il transito. Viene generata utilizzando la chiave privata e verificata utilizzando la chiave pubblica presente nel record DKIM.

Selettore DKIM

Selettore DKIM è un identificatore unico utilizzato per specificare quale coppia di chiavi DKIM è stata utilizzata per firmare il messaggio, consentendo ai domini di gestire più chiavi (ad esempio, per diversi servizi di invio). È un valore stringa alfanumerico definito nel tag s= dell'intestazione delle e-mail DKIM; il selettore deve essere distinguibile e diverso per ogni fornitore di e-mail utilizzato.

Ad esempio, nel nome del record DKIM s1._domainkey.domain.com, s1 è il selettore.

Esempio di record DKIM

v=DKIM1;
k=rsa; p=MIGfMA0GCSqGSIb3DQEBA...
I record DKIM possono anche includere un tag "t=y", che indica che il dominio è in modalità di prova; questo dovrebbe essere usato temporaneamente durante la configurazione iniziale e rimosso per la distribuzione completa.

Quali sono i vantaggi del DKIM

Le aziende hanno bisogno di DKIM per autenticare le e-mail in uscita e garantirne la legittimità. Il DKIM svolge un ruolo fondamentale nell'aggirare gli attacchi Man-in-the-Middle (MITM) e nel prevenire le modifiche ingiustificate apportate da terzi al contenuto delle e-mail. Contribuisce a proteggere le relazioni con i clienti e la reputazione del marchio, garantendo l'affidabilità delle e-mail.

DKIM impedisce l'alterazione dei messaggi

Quando ci si chiede cosa faccia il DKIM per prevenire le frodi via e-mail, è bene sapere che la firma digitale è un sistema di sicurezza. Se l'e-mail è stata intercettata e alterata, la verifica della firma fallirà perché l'hash ricalcolato non corrisponderà all'hash decifrato dalla firma, quindi l'e-mail verrà rifiutata o segnalata come sospetta.

Ridurre al minimo lo spoofing con un dominio DKIM

Un'e-mail inviata da un malintenzionato che tenta di impersonare il vostro dominio non avrà una firma valida generata con la vostra chiave privata. Non riuscirà a superare il controllo di autenticazione DKIM, il che è un'ulteriore spiegazione di ciò da cui DKIM protegge la vostra organizzazione.

Visualizza le ultime statistiche sulle frodi via e-mail qui.

DKIM riduce lo spam via e-mail

Il DKIM è noto per la riduzione delle e-mail di spam. Configurare correttamente il DKIM aumenta l'affidabilità delle vostre e-mail, riducendo notevolmente le possibilità che i vostri messaggi legittimi finiscano nella cartella dello spam, con particolare beneficio per le campagne di email marketing.

DKIM aumenta la deliverability delle e-mail

Inoltre, l'impostazione del DKIM migliora la reputazione del mittente come fonte verificata agli occhi di Internet Service Provider (ISP), clienti, partner e altri servizi di ricezione. Ciò contribuisce a migliorare la deliverability delle e-mail e a generare profitti garantendo che le comunicazioni importanti raggiungano i destinatari. La deliverability delle e-mail, ovvero la capacità di un'e-mail di raggiungere la casella di posta del destinatario invece di essere contrassegnata come spam o rimbalzata, è fondamentale per il marketing e la comunicazione. Metriche chiave come i tassi di rimbalzo, i tassi di apertura, i tassi di clic e i reclami per spam aiutano a misurare il coinvolgimento. Una scarsa deliverability può comportare uno spreco di investimenti di marketing, l'inserimento in liste di blocco come Spamhaus e un impatto sul servizio clienti. I provider di caselle di posta elettronica si concentrano sempre più sui segnali di coinvolgimento degli utenti (aperture, clic, risposte, tassi di reclamo) per filtrare le e-mail, sottolineando la necessità di un'elevata deliverability. Le e-mail consegnate con successo grazie alla verifica DKIM contribuiscono ad aumentare i tassi di apertura e di clic, portando potenzialmente a un aumento delle conversioni e delle vendite.

Quali sono le limitazioni del DKIM?

DKIM è estremamente importante per l'autenticazione e l'integrità dei messaggi, tuttavia non è perfetto. Ecco alcuni dei suoi limiti:

• DKIM non autentica il mittente (l'indirizzo "From") visibile all'utente finale direttamente rispetto al dominio di firma in tutti i casi (questo controllo di allineamento fa parte del DMARC). L'autenticazione si basa principalmente sul fatto che l'e-mail è stata autorizzata dal dominio presente nella firma DKIM (tag d=) e non è stata alterata. Pertanto, se qualcuno ottiene l'accesso non autorizzato a un account o a un server legittimo, può inviare e-mail firmate DKIM dal vostro dominio.
• DKIM si basa sulla pubblicazione e sul recupero corretto dei record DNS. Se i record DNS pubblici non sono impostati correttamente, sono mal configurati o subiscono ritardi nella propagazione, ciò può portare a DKIM non riesce ad essere autenticato anche per le e-mail legittime.
• DKIM da solo non detta una politica su cosa succede se l'autenticazione fallisce. Si limita a fornire un risultato "pass/fail". Non blocca intrinsecamente lo spam o i tentativi di phishing, ma rende più difficile la contraffazione. Per questo motivo, l'abbinamento con DMARC, che utilizza i risultati di DKIM (e/o SPF) per applicare i criteri, è estremamente essenziale per una protezione completa.

Inoltre, l'implementazione del DKIM può presentare sfide pratiche, tra cui la complessità tecnica che richiede competenze nella gestione delle chiavi e nella configurazione del DNS, i potenziali problemi di recapito delle e-mail se non configurate correttamente, le difficoltà nella gestione delle chiavi su scala e la garanzia di compatibilità con i servizi di invio e-mail di terze parti.

Abbinamento di DKIM e DMARC

Non ha senso confrontare DKIM e DMARC: l'abbinamento di DKIM e DMARC (e SPF) è l'ideale per ottenere una protezione completa, garantendo al contempo la consegna delle e-mail senza problemi! Se si utilizzano entrambi, DMARC sfrutta i risultati di autenticazione di DKIM (insieme a quelli di SPF) e aggiunge controlli di allineamento e l'applicazione di policy (come il rifiuto o la messa in quarantena dei messaggi falliti), rendendo molto più difficile per le e-mail contraffatte raggiungere la casella di posta. In questo modo si evita di essere inseriti nella lista nera dei filtri antispam e le e-mail legittime vengono recapitate in modo più affidabile.

Inoltre, l'uso congiunto di DKIM e DMARC aiuta a proteggere il vostro marchio: spesso gli spammer cercano di creare uno spoofing dei domini che ritengono meno propensi a segnalarli come spam. Ma se i domini di cui fanno lo spoofing sono effettivamente dotati di DKIM e di una politica DMARC, sarà molto più difficile per loro farla franca e proteggere la reputazione del vostro dominio.

Il bello dell'abbinamento è che lavorano insieme senza soluzione di continuità per fornire più livelli di protezione contro i tentativi di spoofing, offrendo al contempo ai mittenti controllo e visibilità (attraverso i rapporti DMARC) sul modo in cui la posta viene gestita e autenticata su Internet.

Abilitare il DKIM con PowerDMARC

PowerDMARC consente ai proprietari di domini di configurare facilmente DKIM insieme a SPF e DMARC, fornendo funzioni di monitoraggio e reporting. Questo li aiuta a tenere sempre sotto controllo i risultati e gli errori di autenticazione, garantendo la deliverability e combattendo attivamente i cyberattacchi.

La nostra piattaforma è facile da usare per aziende di tutte le dimensioni e può gestire domini multipli e grandi volumi di traffico e-mail. Forniamo un'efficace soluzione DKIM abbinata a diversi altri protocolli di autenticazione e-mail essenziali per una protezione a 360 gradi contro le frodi e-mail.

Ottenete i vostri DKIM e DMARC in pochi minuti con PowerDMARC!

Domande frequenti su DKIM

Come impostare il DKIM?

Per impostare DKIM, è necessario generare una chiave privata e una coppia di chiavi pubbliche corrispondenti, spesso utilizzando uno strumento come il generatore di record DKIM o tramite il proprio provider di servizi di posta elettronica. Si consiglia di utilizzare chiavi DKIM di almeno 1024 bit, con chiavi a 2048 bit preferibili per una maggiore sicurezza. Ruotare regolarmente le chiavi DKIM e considerare l'utilizzo di chiavi uniche per diversi servizi o client di invio. Assicurarsi che il periodo di scadenza della firma digitale, se impostato, sia più lungo del periodo di rotazione della chiave e ricordarsi di revocare le vecchie chiavi. Quindi, configurare i server di posta elettronica di invio per firmare le e-mail in uscita con la chiave privata e pubblicare la chiave pubblica come record DNS TXT sotto un nome di selettore specifico per il dominio (ad esempio, selector._domainkey.yourdomain.com).

Come controllare il proprio record DKIM?

Per verificare il proprio record DKIM, è possibile utilizzare il nostro programma gratuito di strumento di controllo DKIM gratuito. È sufficiente inserire il nome del dominio e il selettore DKIM specifico che si desidera controllare (se noto); il programma interrogherà il DNS e segnalerà se il record DKIM è formattato, pubblicato e recuperabile correttamente o se sono stati rilevati problemi.

Che differenza c'è tra SPF e DKIM?

Sebbene entrambi siano protocolli di autenticazione delle e-mail utilizzati da DMARC, SPF (Sender Policy Framework) si concentra sull'autorizzazione di quali indirizzi IP sono autorizzati a inviare e-mail *per* un dominio, verificando il percorso del messaggio. DKIM si concentra sulla verifica dell'integrità del *contenuto* dell'e-mail e conferma che il messaggio è stato autorizzato dal proprietario del dominio tramite una firma crittografica, verificando l'origine del messaggio e assicurando che non sia stato alterato. Le firme DKIM sopravvivono all'inoltro, mentre SPF spesso si rompe durante l'inoltro.

Posso utilizzare la stessa chiave DKIM per più domini?

No, non è possibile utilizzare la stessa coppia di chiavi DKIM per più domini distinti. Ogni dominio richiede una coppia di chiavi DKIM unica (chiave privata per la firma, chiave pubblica pubblicata nel DNS del dominio). Questo garantisce che le firme DKIM siano specifiche per ogni dominio e mantiene la sicurezza e l'integrità dell'autenticazione delle e-mail per ogni singolo dominio. Tuttavia, se necessario, è possibile utilizzare la stessa coppia di chiavi per selettori diversi *all'interno* dello stesso dominio, sebbene sia comune utilizzare chiavi separate per ogni servizio di invio.

Leggi di più

Office 365 utilizza il DKIM?

Sì, Microsoft 365 (precedentemente Office 365) supporta e utilizza DKIM. Per impostazione predefinita, Microsoft 365 utilizza una configurazione DKIM condivisa per i domini iniziali, ma si consiglia vivamente di configurare una firma DKIM personalizzata per i propri domini generando i record CNAME necessari nel DNS come indicato da Microsoft, che consente di gestire le chiavi e il processo di firma.

Posso utilizzare DMARC senza DKIM?

Tecnicamente sì, è possibile implementare il DMARC utilizzando solo SPF per l'autenticazione. Tuttavia, ciò è altamente *sconsigliato*. Il DMARC si basa sul passaggio e sull'allineamento di SPF o DKIM (o di entrambi). Affidarsi solo a SPF rende fragile l'autenticazione, poiché SPF spesso fallisce durante i flussi di posta indiretti (come l'inoltro). L'implementazione di SPF e DKIM offre una ridondanza e una copertura di autenticazione molto più solida, necessaria per il funzionamento efficace di DMARC.

Ho bisogno di DMARC se ho implementato DKIM?

Sebbene DKIM fornisca una verifica dell'integrità del messaggio e un'autenticazione cruciali, non dice ai server riceventi cosa *fare* se la verifica fallisce, né verifica che il dominio di firma sia allineato con il dominio "Da" visibile all'utente. A criterio DMARC aggiunge questo livello essenziale: verifica l'allineamento tra il dominio di firma DKIM (d=) e il dominio "Da", specifica se mettere in quarantena o rifiutare i messaggi che non superano l'autenticazione e l'allineamento e fornisce un rapporto sui risultati dell'autenticazione. La combinazione di DKIM (e SPF) con DMARC consente di migliorare notevolmente la sicurezza delle e-mail, la protezione del marchio e la deliverability.

Che cosa sono i problemi di DomainKeys Identified Mail?

I problemi DKIM più comuni includono: sintassi o pubblicazione di record DNS non corretti; utilizzo del selettore sbagliato; compromissione della chiave privata o mancata corrispondenza con la chiave pubblica; problemi di rotazione delle chiavi (chiavi scadute); modifiche dei messaggi da parte di server intermedi (come le mailing list) che interrompono la firma; disallineamento tra il dominio di firma DKIM e il dominio dell'intestazione From: (che ha un impatto su DMARC); mancanza di supporto DKIM o configurazione errata da parte di servizi di invio di terze parti. Ognuno di questi problemi può causare fallimenti dell'autenticazione DKIM e avere un impatto negativo sulla recapitabilità delle e-mail.

Quanto tempo occorre per impostare un record DKIM?

La generazione delle chiavi e la configurazione del server di posta possono richiedere da pochi minuti a ore, a seconda del sistema. La pubblicazione del record della chiave pubblica DKIM nel DNS è solitamente rapida, ma possono essere necessari da pochi minuti a 48-72 ore perché le modifiche DNS si propaghino completamente in Internet, a seconda del provider DNS e delle impostazioni del TTL. Dopo l'installazione, si raccomanda un monitoraggio continuo (idealmente tramite i rapporti DMARC) per garantire che il DKIM continui a funzionare correttamente.

Cosa succede quando il DKIM fallisce?

Quando un DKIM fallisce per un'e-mail, indica che il messaggio è stato manomesso durante il transito o che non è stato firmato correttamente dal dominio di invio dichiarato. I server di ricezione possono trattare l'e-mail con sospetto, segnalandola potenzialmente come spam o spazzatura. Se per il dominio è stato pubblicato un criterio DMARC e l'errore comporta anche un fallimento DMARC (a causa della mancanza di SPF o di SPF allineato), l'e-mail può essere messa in quarantena o rifiutata completamente in base al criterio(p=quarantena o p=rifiuto). L'implementazione di SPF fornisce un meccanismo di autenticazione di ripiego.

Ho bisogno di SPF e DKIM?

Sebbene SPF e DKIM siano protocolli indipendenti che possono autenticare le e-mail da soli in una certa misura, l'utilizzo di *entrambi* è la pratica migliore del settore ed è fortemente raccomandato per una solida autenticazione delle e-mail. Si occupano di aspetti diversi (IP del mittente vs. integrità/origine del messaggio). Implementare SPF, DKIM e DMARC insieme crea una struttura potente che aumenta significativamente le difese contro gli attacchi di spoofing e phishing, migliora la deliverability e protegge la reputazione del vostro dominio.