Tutti i server di posta tentano di bloccare le e-mail con mittenti fal­si­fi­ca­ti. Un metodo per ve­ri­fi­ca­re l’au­ten­ti­ci­tà del mittente è il record DKIM (Do­main­Keys Iden­ti­fied Mail), un sistema che permette di apporre una firma digitale alle e-mail.

Cos’è il record DKIM?

DKIM (Do­main­Keys Iden­ti­fied Mail) si basa sulla co­mu­ni­ca­zio­ne tra il server di posta mittente e il server di posta di de­sti­na­zio­ne. L’utente finale non si accorge mi­ni­ma­men­te di questo processo. Sem­pli­fi­can­do al massimo, possiamo dire che il server di posta mittente aggiunge all’e-mail una firma digitale che viene ve­ri­fi­ca­ta dal server di de­sti­na­zio­ne. A questo scopo, il server di de­sti­na­zio­ne richiama presso il server di posta, che dichiara di essere il mittente, la chiave pubblica associata alla firma. Se la chiave pubblica non cor­ri­spon­de alla firma, i motivi possono essere i seguenti:

  • L’e-mail non è stata inviata dal server di posta di­chia­ra­to nell’header dell’e-mail, ma da un altro server, molto pro­ba­bil­men­te illecito.
  • L’e-mail è stata alterata durante il percorso dal server di posta “autentico” al de­sti­na­ta­rio. Ad esempio, potrebbe essere stata in­ter­cet­ta­ta da un hacker, mo­di­fi­ca­ta e suc­ces­si­va­men­te rinviata.

Come funziona DKIM?

Per com­pren­de­re DKIM, è fon­da­men­ta­le capire i singoli elementi co­sti­tu­ti­vi del concetto. Di seguito, abbiamo riassunto i tre pilastri ele­men­ta­ri dei record DKIM.

Hashing

Uti­liz­zan­do un de­ter­mi­na­to algoritmo, dai contenuti dell’e-mail viene calcolata una sequenza di caratteri, de­no­mi­na­ta valore di hash, che viene aggiunta all’header dell’e-mail. Se il de­sti­na­ta­rio cal­co­las­se il valore di hash dell’e-mail ricevuta uti­liz­zan­do lo stesso algoritmo, dovrebbe ottenere esat­ta­men­te la sequenza di caratteri aggiunta all’header dell’e-mail. Se il valore di hash non cor­ri­spon­de, il de­sti­na­ta­rio deduce che l’e-mail è stata fal­si­fi­ca­ta.

N.B.

L’hashing si basa sullo stesso principio della cifra di controllo di un bol­let­ti­no di ver­sa­men­to, in cui dalle cifre del numero di ri­fe­ri­men­to viene calcolato un valore che viene aggiunto come ultima cifra al numero di ri­fe­ri­men­to.

Crit­to­gra­fia asim­me­tri­ca

Per avere la certezza che il valore di hash deriva ef­fet­ti­va­men­te dal mittente ori­gi­na­rio, è ne­ces­sa­ria un’altra misura: la firma digitale.

A questo scopo, per l’au­ten­ti­ca­zio­ne del mittente si utilizza la crit­to­gra­fia asim­me­tri­ca. Essa si basa su una coppia di chiavi: quello che è stato crit­to­gra­fa­to con la chiave A può essere decifrato solo con la chiave B. Qui, una chiave rimane segreta (“chiave privata”), mentre l’altra è resa pubblica (“chiave pubblica”).

Consiglio

Consulta la nostra pa­no­ra­mi­ca sui processi crit­to­gra­fi­ci per ottenere In­for­ma­zio­ni det­ta­glia­te sulla crit­to­gra­fia.

Il pro­ce­di­men­to è il seguente:

  1. Il mittente crit­to­gra­fa il valore di hash calcolato con la chiave privata.
  2. Aggiunge quindi il valore di hash crit­to­gra­fa­to all’header dell’e-mail sotto forma di firma digitale.
  3. Il de­sti­na­ta­rio richiama sul server DNS del mittente la relativa chiave pubblica e la utilizza per decifrare la firma.
  4. Il de­sti­na­ta­rio esegue quindi il calcolo di controllo del valore di hash decifrato: se il valore di hash calcolato au­to­no­ma­men­te cor­ri­spon­de a quello de­crip­ta­to, è tutto a posto.

Record TXT sul name server

Affinché il server di posta di de­sti­na­zio­ne possa ri­chia­ma­re la chiave pubblica del mittente, questa deve essere pub­bli­ca­ta come record TXT nella zona DNS del dominio, dopo aver impostato il record DKIM.

Il record DKIM contiene pertanto gli elementi seguenti:

  • La versione, spesso co­di­fi­ca­ta come v=DKIM1.
  • L’algoritmo di crit­to­gra­fia, che è sempre RSA (k=rsa).
  • La chiave pubblica (p=), co­sti­tui­ta da una lunga catena di caratteri.
  • Il selettore, che è diverso da un provider all’altro. Esempio: default._domainkey oppure k1._domainkey.
Immagine: Screenshot di un record DKIM
DKIM nel record di risorse TXT.

Il record DKIM può essere ge­ne­ral­men­te ri­chia­ma­to solo mediante l’header dell’e-mail. Per poterlo ri­chia­ma­re è ne­ces­sa­rio non solo il nome del dominio, ma anche il selettore. Nella maggior parte dei casi, il selettore non è noto o può essere estra­po­la­to solo con complesse ricerche.

Creare una coppia di chiavi DKIM

Per impostare il record DKIM per le tue e-mail, ti serve in­nan­zi­tut­to una coppia di chiavi. Di solito è possibile ri­chie­de­re queste chiavi al proprio provider di posta. Se si gestisce un proprio server di posta, è possibile creare da soli le chiavi e i record necessari.

Ri­chie­de­re la chiave DKIM al provider di posta elet­tro­ni­ca

Le modalità esatte di richiesta delle chiavi DKIM dipendono dal provider di posta elet­tro­ni­ca scelto. Inoltre, il record DKIM non è sup­por­ta­to da tutti i provider allo stesso modo: Alcuni provider lo offrono solo per le aziende, altri fornitori di domini offrono solo chiavi di una certa lunghezza. In generale, le chiavi DKIM possono essere richieste tramite le im­po­sta­zio­ni o la console di am­mi­ni­stra­zio­ne del provider di posta. In caso di dubbi, è possibile con­tat­ta­re di­ret­ta­men­te l’as­si­sten­za.

E-mail pro­fes­sio­na­le
La tua e-mail con il provider made in Germany n°1 in Europa
  • Dominio in linea con la tua e-mail
  • Tec­no­lo­gia made in Germany
  • Nuove fun­zio­na­li­tà IA

Creare ma­nual­men­te la chiave DKIM

Per creare un record DKIM, è possibile anche generare ma­nual­men­te la coppia di chiavi RSA ne­ces­sa­ria. A tale scopo, sono di­spo­ni­bi­li gra­tui­ta­men­te su internet diversi strumenti come DKIM Record Generator di EasyDMARC. Inserisci un selettore a piacere (esempio: k1) e il dominio de­si­de­ra­to. Seleziona quindi la lunghezza preferita della chiave.

Il ge­ne­ra­to­re produce una chiave privata e una pubblica. La chiave privata (“Private Key”) deve essere me­mo­riz­za­ta sul server di posta (solo il tuo provider di posta può farlo), mentre la chiave pubblica viene inserita nel record DKIM.

Creare il record DKIM

Dopo aver creato le due chiavi DKIM, ciascuna deve essere salvata nella posizione corretta. Nel caso della chiave privata, si tratta del server di posta elet­tro­ni­ca; per la chiave pubblica, è un record DNS per il tuo dominio. Se il provider di posta ha creato la coppia di chiavi, nella maggior parte dei casi la chiave privata è già me­mo­riz­za­ta.

N.B.

Se gestisci un tuo server di posta, è ne­ces­sa­rio salvare per­so­nal­men­te la chiave privata. Il processo varia a seconda del software uti­liz­za­to come MTA (Mail Transfer Agent).

Per pub­bli­ca­re la chiave pubblica, devi inserirla nel tuo dominio come record DNS TXT. Si procede come segue:

  1. Accedi all’area di am­mi­ni­stra­zio­ne del tuo dominio.
  2. Vai ai record DNS.
  3. Crea qui un nuovo record DNS di tipo “TXT”.
  4. Aggiungi ora il tuo nome host DKIM nel campo “Nome host”. Questo è composto da selettore e dominio e ha il seguente formato: selector._domainkey.dominioesempio.it. Al posto di selector e di dominioesempio.it utilizza i valori cor­ri­spon­den­ti.
  5. Nel campo “valore”, inserisci la chiave pubblica.
  6. Salva il nuovo record e attendi che le modifiche vengano rilevate dal DNS (possono essere necessari fino a 2-3 giorni).

Ve­ri­fi­ca­re il record DKIM

Per ve­ri­fi­ca­re se il record DKIM è stato con­fi­gu­ra­to cor­ret­ta­men­te, puoi uti­liz­za­re uno strumento per la va­li­da­zio­ne DKIM, ad esempio DKIM Record Lookup di EasyDMARC.

In al­ter­na­ti­va, puoi inviarti un’e-mail e ana­liz­za­re l’header. Lì trovi il record “DKIM-Signature”, se il record DKIM è stato impostato cor­ret­ta­men­te:

Immagine: Screenshot di un header dell’e-mail con il dettaglio della firma DKIM
Nell’header dell’e-mail è visibile la firma DKIM.
Consiglio

Copiando l’header di un’e-mail nello strumento Headline Analyzer, puoi ottenere in­for­ma­zio­ni chiare e det­ta­glia­te al riguardo.

E-mail marketing
Aumenta le vendite con il software per e-mail marketing
  • Design intuitivo, editor drag and drop, funzioni IA
  • Tanti modelli pro­fes­sio­na­li tra cui scegliere
  • Invio semplice e conforme al GDPR
Vai al menu prin­ci­pa­le