Strumenti diagnostici di rete

Verifica DKIM

Trova e valida la tua chiave pubblica DKIM

Che cos'è un record DKIM?

DKIM aggiunge una firma crittografica alle tue email in uscita; i destinatari la verificano con una chiave pubblica che pubblichi nel DNS su selector._domainkey.tuo-dominio. Poiché il DNS non offre alcun modo per elencare i selector, IPeek sonda i selector usati da Google, Microsoft, Amazon SES e altri provider principali.

Come funzionano la firma e la verifica DKIM

Quando invii un messaggio, il tuo provider firma con una chiave privata determinate intestazioni e il corpo, aggiungendo un'intestazione DKIM-Signature al messaggio. Il destinatario legge i tag d= (dominio) e s= (selector) da quell'intestazione, recupera la chiave pubblica corrispondente su selector._domainkey.d e verifica la firma. Se è valida, il contenuto non è stato alterato durante il transito e proviene davvero da chi detiene la chiave per quel dominio. La chiave privata resta sul server mittente; nel DNS risiede solo quella pubblica.

I selector e la chiave pubblica nel DNS

Un selector consente a un dominio di pubblicare più chiavi DKIM — utile per la rotazione o per diversi servizi di invio. La chiave pubblica è un record TXT su selector._domainkey.tuo-dominio, ad esempio google._domainkey.example.com, che contiene v=DKIM1; k=rsa; p=<chiave pubblica base64>. Poiché il DNS non offre un elenco dei selector, non puoi semplicemente chiedere quali usi un dominio. È per questo che IPeek sonda i selector comuni usati da Google (google), Microsoft, Amazon SES e altri provider principali per localizzare le tue chiavi pubblicate.

Come DKIM si relaziona a SPF e DMARC

DKIM è il livello di autenticazione del contenuto tra i tre. Mentre SPF autorizza gli host mittenti tramite IP, DKIM dimostra crittograficamente che le intestazioni e il corpo di un messaggio non sono stati manomessi e lo lega a un dominio firmatario. DMARC verifica poi che il dominio firmatario DKIM si allinei con l'indirizzo From visibile. DKIM ha un vantaggio chiave rispetto a SPF: poiché la firma viaggia insieme al messaggio, sopravvive all'inoltro, che spesso rompe SPF. Per una recapitabilità solida, pubblica DKIM e allinealo con DMARC.

Domande frequenti

Che cos'è un selector DKIM?

Un selector è un'etichetta che punta a una specifica chiave pubblica DKIM nel DNS, consentendo a un singolo dominio di pubblicare più chiavi per la rotazione o per diversi servizi di invio. Compare come tag s= nell'intestazione DKIM-Signature e fa parte della posizione DNS selector._domainkey.tuo-dominio. Ad esempio, Google Workspace usa comunemente il selector google.

Perché non trovo il mio record DKIM?

I record DKIM risiedono su selector._domainkey.tuo-dominio, e il DNS non offre alcun modo per elencare i selector usati da un dominio — quindi devi conoscere il selector per interrogarlo. Provider diversi usano selector diversi. IPeek risolve il problema sondando i selector comuni usati da Google, Microsoft, Amazon SES e altri provider principali per localizzare automaticamente le tue chiavi pubblicate.

Dove viene memorizzata una chiave pubblica DKIM?

Una chiave pubblica DKIM è pubblicata come record TXT nel DNS su selector._domainkey.tuo-dominio — ad esempio google._domainkey.example.com. Il record contiene tag come v=DKIM1; k=rsa; p= seguiti dalla chiave pubblica codificata in base64. La chiave privata corrispondente resta sul tuo server di posta in uscita e non viene mai pubblicata. I destinatari recuperano la chiave pubblica per verificare ogni firma.

DKIM sopravvive all'inoltro delle email?

Sì, nella maggior parte dei casi. Poiché la firma DKIM viaggia all'interno delle intestazioni del messaggio, resta valida dopo l'inoltro finché le intestazioni firmate e il corpo non vengono modificati. È un vantaggio importante rispetto a SPF, che tipicamente si rompe con l'inoltro perché l'IP mittente cambia. È anche il motivo per cui DMARC può comunque passare tramite DKIM quando SPF fallisce sulla posta inoltrata.

Qual è la differenza tra DKIM e SPF?

SPF autorizza quali host possono inviare posta per il tuo dominio verificando l'IP mittente, mentre DKIM firma crittograficamente ogni messaggio così che i destinatari possano verificare che il contenuto non sia stato alterato e che provenga dal tuo dominio. SPF convalida il percorso; DKIM convalida il messaggio. Sono complementari, e DMARC lega entrambi al tuo indirizzo From visibile.

Strumenti correlati

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어