dominio dkim reso semplice
Fino a questa settimana sono sempre stato riluttante ad offrire ai clienti
la firma dei messaggi email con il loro dominio.
Per due ragioni:
aggiungere al dns un record TXT con una chiave pubblica lunga 2048 bit potrebbe risultare complicato
l’ultima volta ho dovuto scambiare otto messaggi di posta elettronica
e fare una telefonata con il provider del cliente per farlo correttamenterichiede una configurazione speciale lato server smtp
Ho pensato che non ne valesse la pena, perché l’allineamento del dominio per DMARC richiede che:
quando un mittente autentica la propria email utilizzando SPF e/o DKIM,
almeno uno dei domini deve essere allineato con il dominio From del mittente
Ciò significa che nella maggior parte dei casi è sufficiente l’autenticazione SPF del dominio del mittente,
mentre il dominio di firma DKIM è quello del fornitore di servizi.
Questa è la configurazione standard dei servizi di posta elettronica nel cloud di Google Apps e Office 365.
Poi la scorsa settimana ho letto l’articolo (file pdf):
M3AAWG DKIM Key Rotation Best Common Practices
Suggerisce la “3.1.3 Delega chiavi tramite CNAME”:
Un altro metodo consiste nel delegare le chiavi a terze parti utilizzando CNAME. […]
Esempio:
Consideriamo il caso in cui "esempio.com" è il dominio per firmare e "acme.com" è la terza parte.
key1._domainkey.example.com CNAME key1.example.com.acme.com
key2._domainkey.example.com CNAME key2.example.com.acme.com
key1.example.com.acme.com TXT “v=DKIM1; p=”
key2.example.com.acme.com TXT “v=DKIM1; p=ADfe34556....”
Dopo numerosi test di configurazione e aggiornamenti della documentazione interna,
Ho trasmesso i nuovi requisiti al primo cliente.
Al primo tentativo la configurazione è andata a buon fine!
La pagina web “come si configura dkim” è stata prontamente aggiornata.