DKIM, che sta per DomainKeys Identified Mail, è una soluzione digitale che consente alle organizzazioni di garantire l'affidabilità delle loro comunicazioni con i membri del personale, i clienti o i partner. Si ottiene aggiungendo una firma digitale all'intestazione del messaggio per confermare che il messaggio è stato inviato da una fonte legittima e non è stato alterato durante il transito. La firma viene quindi convalidata nel DNS (Domain Name System) dal server di posta ricevente. Il mittente dovrebbe tenere un record con la chiave pubblica nel DNS, che consente al server di posta ricevente di confermare la legittimità del messaggio utilizzando la chiave e di consegnarlo senza problemi alla casella di posta del destinatario. In questo modo, il processo di transito della posta elettronica diventa affidabile e sicuro. Pertanto, DKIM diventa una solida protezione contro lo spoofing della posta elettronica, il phishing e lo spam.
Una firma DKIM è una stringa crittografica di caratteri allegata all'intestazione di un messaggio di posta elettronica. Viene generato utilizzando la chiave privata del mittente e viene verificato dal server di posta ricevente utilizzando la chiave pubblica del mittente memorizzata nel record DNS.
Il suo scopo è garantire l'integrità del messaggio e verificare che non sia stato manomesso durante il transito. Il server del destinatario controlla la firma contenente le informazioni sul nome di dominio e altri dati e la confronta con la chiave pubblica. In caso di corrispondenza risulta essere valida, ciò significa che l'email non è stata alterata e che è stata effettivamente inviata dal dominio rivendicato.
Il processo di generazione di una firma crittografica comprende diversi passaggi:
Una firma digitale è una lunga stringa di caratteri generalmente rappresentata come una serie di caratteri alfanumerici e simboli speciali. Appare come un campo distinto all'interno dell'intestazione dell'e-mail ed è racchiuso tra parentesi angolari (< >) per differenziarlo dagli altri campi di intestazione. Contiene vari parametri e valori.
Ecco un esempio di struttura del modello della firma:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;In questo esempio:
COME FUNZIONA
Per applicare DKIM, le organizzazioni devono generare e registrare il proprio record nel DNS. Si tratta di un record TXT contenente informazioni importantissime sulle impostazioni per un particolare dominio, inclusa la chiave pubblica del mittente. Attraverso un controllo del record DNS, il server di posta ricevente può facilmente convalidare l'autenticità dei messaggi in arrivo.
Ecco un esempio di record DKIM e la suddivisione dei componenti:
example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"Quando un'e-mail viene inviata con DKIM abilitato, il servizio di invio allega una firma digitale all'intestazione del messaggio. La firma include valori crittografati delle parti del messaggio, come corpo, intestazioni e allegati. Per verificare la firma DKIM, i destinatari possono eseguire una serie di passaggi:
Una volta completata con successo la verifica della firma, i destinatari possono essere sicuri dell'autenticità e dell'integrità dell'e-mail, riducendo le possibilità di attacchi di phishing e di falsificazione delle e-mail.
Tuttavia, in caso di fallimento della verifica, i possibili scenari per un'e-mail possono essere i seguenti:
Le conseguenze esatte di un errore di verifica possono variare in base alle politiche stabilite da un fornitore di servizi di posta elettronica e alle impostazioni individuali del destinatario. È importante notare che una verifica DKIM fallita può comportare una diminuzione della reputazione del mittente, una riduzione dei tassi di consegna e una maggiore probabilità che il messaggio venga trattato come sospetto o potenzialmente dannoso.
L'uso di DKIM aumenta significativamente le possibilità di evitare potenziali azioni dannose tramite e-mail e contribuisce a una comunicazione fluida e di successo. Per migliorare la sicurezza della posta elettronica vengono applicati altri due meccanismi che salvaguardano la comunicazione online: SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting & Conformance).
Per proteggere la propria reputazione e garantire la consegnabilità delle proprie e-mail, un'organizzazione può fornire un record SPF nel DNS con l'elenco dei nomi di dominio e degli indirizzi IP autorizzati. Controllando questo record il server del destinatario verificherà l'autenticità della fonte del messaggio. Un record SPF fornisce un'ulteriore protezione dei dati confermando la legittimità del mittente.
DMARC è una politica per i meccanismi di autenticazione sopra menzionati che definisce le regole di identificazione delle e-mail e determina ulteriori azioni sui messaggi sospetti con i possibili scenari sopra descritti.
Nel complesso, DKIM svolge un ruolo fondamentale nel garantire l'affidabilità, l'integrità e la sicurezza delle comunicazioni e-mail. Implementando DKIM insieme a SPF e DMARC, le organizzazioni possono ridurre significativamente i rischi posti da attività dannose, migliorando la protezione del proprio ecosistema di posta elettronica.
Frequently asked questions
Un modo semplice per farlo è utilizzare vari strumenti e servizi disponibili online. Questi strumenti aiutano a generare chiavi crittografiche: una chiave privata creata per firmare i messaggi in uscita e una chiave pubblica per la verifica della firma da parte di un destinatario.
La sicurezza della tua comunicazione online si ottiene fornendo ai destinatari un mezzo per verificare l'autenticità dei messaggi in arrivo. Aiuta a prevenire la falsificazione delle e-mail, gli attacchi di phishing e le manomissioni, aumentando così la fiducia e riducendo il rischio di attività dannose.
Per verificare la firma digitale di un'e-mail è necessario recuperare il record DKIM del mittente dal DNS. Estrarre da esso la chiave pubblica e calcolare la firma utilizzando i componenti del messaggio pertinenti. Confronta la firma calcolata con quella nell'intestazione del messaggio. Se le firme corrispondono, la firma DKIM è valida.
Consideriamo la possibilità di tracciare il percorso che un messaggio attraversa per raggiungere il destinatario. Ciò ti aiuterà a comprendere i processi complessi di trasmissione della posta elettronica e a proteggerti dalla posta indesiderata o dalla posta indesiderata. Il nostro analizzatore di intestazioni email rende questa manipolazione semplice ma informativa. Permette di tracciare e visualizzare l'elenco dei server coinvolti nel processo di trasmissione con i loro indirizzi IP e nomi di dominio e raccogliere quante più informazioni aggiuntive possibili.