dominio dkim reso semplice
Fino a questa settimana sono sempre stato riluttante ad offrire ai clienti
la firma dei messaggi email con il loro dominio.
Per due ragioni:
-
aggiungere al dns un record TXT con una chiave pubblica lunga 2048 bit potrebbe risultare complicato
l’ultima volta ho dovuto scambiare otto messaggi di posta elettronica
e fare una telefonata con il provider del cliente per farlo correttamente -
richiede una configurazione speciale lato server smtp
Ho pensato che non ne valesse la pena, perché l’allineamento del dominio per DMARC richiede che:
quando un mittente autentica la propria email utilizzando SPF e/o DKIM,
almeno uno dei domini deve essere allineato con il dominio From del mittente
Ciò significa che nella maggior parte dei casi è sufficiente l’autenticazione SPF del dominio del mittente,
mentre il dominio di firma DKIM è quello del fornitore di servizi.
Questa è la configurazione standard dei servizi di posta elettronica nel cloud di Google Apps e Office 365.
Poi la scorsa settimana ho letto l’articolo (file pdf):
M3AAWG DKIM Key Rotation Best Common Practices
Suggerisce la “3.1.3 Delega chiavi tramite CNAME”:
Un altro metodo consiste nel delegare le chiavi a terze parti utilizzando CNAME. […]
Esempio:
Consideriamo il caso in cui "esempio.com" è il dominio per firmare e "acme.com" è la terza parte.
key1._domainkey.example.com CNAME key1.example.com.acme.com
key2._domainkey.example.com CNAME key2.example.com.acme.com
key1.example.com.acme.com TXT “v=DKIM1; p=”
key2.example.com.acme.com TXT “v=DKIM1; p=ADfe34556....”
Dopo numerosi test di configurazione e aggiornamenti della documentazione interna,
Ho trasmesso i nuovi requisiti al primo cliente.
Al primo tentativo la configurazione è andata a buon fine!
La pagina web “come si configura dkim” è stata prontamente aggiornata.