<dkim> sigilla il contenuto

dkim logo

dkim spiegazione

DKIM è l’acronimo di DomainKeys Identified Mail, uno standard per l’autenticazione delle email,
progettato per garantire che i messaggi email (compresi gli allegati) non vengano modificati dopo che sono stati “firmati”.

Ciò si ottiene apponendo una firma digitale, collegata ad un nome di dominio, a ciascun messaggio email in uscita.

Vengono utilizzate due chiavi: una “pubblica” ed una “privata”:

  1. la chiave “pubblica”, si trova nel record TXT del dominio che firma
  2. la chiave “privata”, è conservata nel server smtp ed utilizzata per “firmare” i messaggi di posta elettronica

Durante l’invio di un messaggio, il server smtp genera una “firma in codice”, basata sul contenuto del messaggio email e sulla chiave privata.

Il sistema destinatario può verificare la firma presente nell’intestazione, confrontandola con il contenuto della mail e con la chiave “pubblica” del mittente.


come funziona dkim

Le firme DKIM non sono immediatamente visibili agli utenti finali, vengono aggiunte e verificate dall’infrastruttura di posta elettronica.

I server smtp di RealSender firmano tutti i messaggi email in uscita con la firma dkim.


come si configura dkim

RealSender da subito firma tutti i messaggi in uscita con il proprio dominio collegato al server smtp,
non è necessaria alcuna configurazione lato utente/amministratore.

Per ottenere “l’allineamento del dominio dkim per dmarc”,
il messaggio deve essere firmato con lo stesso dominio del mittente.

Con RealSender, dovreste aggiungere due record CNAME
nelle impostazioni dns del vostro dominio (example.com), come questi:

key1._domainkey.example.com   CNAME   key1._domainkey.nomeazienda.realsender.com
key2._domainkey.example.com   CNAME   key2._domainkey.nomeazienda.realsender.com

Questo strumento vi aiuterà a convalidare la configurazione:
toolbox.googleapps.com *

* = link ad un sito web esterno, si aprirà in una nuova pagina


dkim aspetti negativi

Un messaggio sigillato con dkim non può essere modificato, ma può essere sempre letto da chiunque.

Un messaggio firmato che non supera la verifica, di solito viene respinto.
Se non sono state apportate modifiche lungo il percorso dal mittente al destinatario, ciò non dovrebbe accadere.

Abbiamo riscontrato rari casi, tutti correlati alla lunghezza delle linee (deve essere massimo 990 caratteri).
Alcune applicazioni inviano il contenuto tutto in una riga o trasmettono una riga molto lunga all’interno dell’html.
In queste occasioni la firma dkim risulta corrotta, causando l’esito della verifica “dkim = fail”.


aggiornato il 25 agosto 2020


<dkim> tester online