Mimecast Logo
Richiedi un preventivo

    Selettori DKIM: cosa sono e come individuarli

    Il selettore DKIM identifica la chiave utilizzata per la firma delle e-mail. Scoprite come funzionano i selettori e come individuarli e gestirli correttamente.
    Prova gratuita di DMARC
    Selettore DKIM
    Prova gratuita di DMARC
    Punti principali

    Cosa imparerai in questo articolo

    • Un selettore DKIM è l'identificatore contenuto nel tag "s=" dell'intestazione della firma DKIM. Indica al server destinatario quale record DNS interrogare per ottenere la chiave pubblica corretta.
    • Il protocollo DKIM funziona apponendo una firma alle e-mail in uscita tramite una chiave privata e verificando la validità della firma con la chiave pubblica corrispondente pubblicata nel DNS.
    • Per individuare un selettore DKIM, i team solitamente esaminano le intestazioni dei messaggi, controllano le impostazioni di amministrazione del provider di posta elettronica, utilizzano uno strumento di verifica DKIM oppure analizzano i dati di monitoraggio DMARC .
    • Le organizzazioni utilizzano spesso più selettori DKIM per separare i flussi di posta, supportare diverse piattaforme di invio e ruotare le chiavi senza interrompere l'autenticazione.
    • Sia la pubblicazione dei record TXT che quella dei record CNAME possono supportare un DKIM valido. La scelta corretta dipende dall'implementazione del provider di invio; pertanto, i team dovrebbero attenersi esattamente al tipo di record richiesto dalla piattaforma.

    Come funziona il DKIM?

    Il DKIM, acronimo di DomainKeys Identified Mail, aggiunge una firma digitale a un’e-mail in uscita, in modo che il server di destinazione possa verificare che il messaggio provenga da un mittente autorizzato e che non sia stato alterato dopo la firma. Il sistema mittente firma le part i del messaggio e-mail con una chiave privata, mentre il destinatario ricerca la chiave pubblica corrispondente nel DNS per convalidare la firma.

    I componenti principali sono di facile comprensione. La chiave privata rimane presso la piattaforma mittente e viene utilizzata per la firma DKIM. La chiave pubblica viene pubblicata nel DNS in modo che il server di posta ricevente possa eseguire l'autenticazione DKIM. L'intestazione della firma DKIM include inoltre il dominio mittente nel tag d=, che indica ai destinatari quale dominio si assume la responsabilità della firma.

    Che cos’è un selettore DKIM?

    Un selettore DKIM è l'identificatore che rimanda alla chiave pubblica DKIM corretta. Appare nel tag "s=" dell'intestazione DKIM-Signature dell' e consente al server ricevente di sapere quale record DNS interrogare. Senza il selettore, il server non saprebbe quale record DKIM utilizzare per la verifica.

    Ciò consente di separare il selettore dalle altre parti del DKIM. Il selettore non coincide con il dominio di origine indicato nel tag `d=` di . Il valore "d=" identifica il dominio associato alla firma DKIM, mentre il selettore indica quale chiave, presente all'indirizzo , debba essere utilizzata per quel dominio. Insieme, guidano la ricerca DNS che supporta la convalida DKIM. 

    È facile confondere i termini correlati, quindi ecco come distinguerli:

    • Chiave DKIM: la coppia di chiavi crittografiche utilizzata per la firma e la verifica.
    • Record DKIM: il record DNS che pubblica la chiave pubblica.
    • Protocollo DKIM: il metodo di autenticazione più ampio che definisce il funzionamento della firma e della verifica.
    • Selettore DKIM: l'etichetta che rimanda al record della chiave pubblica corretto.

    Come funziona un selettore DKIM?

    Il selettore opera nell'ambito del processo di firma e verifica DKIM. Ogni passaggio è semplice di per sé, ma nel loro insieme spiegano perché il selettore è importante:

    1. Il server mittente firma il messaggio

    Il sistema di invio applica una firma DKIM all'e-mail in uscita utilizzando la propria chiave privata. Tale firma viene aggiunta all'intestazione dell'e-mail all'indirizzo . 

    2. Il selettore identifica la chiave corrispondente

    L'intestazione DKIM-Signature include un valore s=. Tale selettore indica ai destinatari quale chiave pubblica corrisponde alla firma utilizzata nel messaggio. 

    3. Il server ricevente esegue la ricerca DNS

    Il server ricevente combina il selettore con il dominio nel tag "d=" per costruire la query DNS. In pratica, la ricerca dell’ e segue solitamente lo schema selector._domainkey.domain. 

    4. La chiave pubblica viene restituita e utilizzata per la verifica

    Se il record DNS corretto viene risolto, il server ricevente recupera la chiave pubblica e la utilizza per convalidare la firma DKIM . Se la firma risulta valida, l'autenticazione DKIM ha esito positivo. 

    Controllore SPF DKIM DMARC

    Gli strumenti gratuiti di controllo SPF, DKIM, BIMI e DMARC di Mimecast offrono ai team di sicurezza e IT un modo rapido per verificare la salute del dominio e identificare le configurazioni errate.
    Controlla ora

    Come si può individuare un selettore DKIM?

    Esistono diversi metodi comuni per individuare un selettore DKIM. Alcuni sono manuali, mentre altri si basano sulle impostazioni di amministrazione o su strumenti di monitor i.

    Metodo A: Controllare manualmente l'intestazione dell'e-mail

    Uno dei metodi più diretti consiste nell’esaminare l’intestazione dell’e-mail e cercare il valore s= all’interno dell’intestazione DKIM-Signature . Quello è il campo di selezione.

    In Gmail, apra il messaggio, selezioni “Mostra originale” e verifichi i dati di autenticazione e le intestazioni in formato grezzo. In Microsoft Outlook, apra le proprietà del messaggio o le intestazioni Internet e cerchi la riga “DKIM-Signature”. In entrambi i casi, il selettore compare come valore dopo s=.

    Metodo B: Verificare con il provider di posta elettronica o nella console di amministrazione

    Molte piattaforme mostrano il selettore nelle schermate di configurazione del DKIM. In Google Workspace, gli amministratori generano la chiave DKIM e il selettore dalla Console di amministrazione per l'autenticazione di Gmail. Microsoft 365 fornisce inoltre le informazioni relative al selettore quando DKIM è configurato per i domini personalizzati.

    Metodo C: Utilizzare uno strumento di ricerca o di verifica DKIM

    Uno strumento di verifica DKIM può inoltre aiutare a identificare o convalidare il selettore. Lo strumento “” di Mimecast per la verifica dei record DKIM richiede l’inserimento del selettore e del nome di dominio, quindi verifica se il record è configurato correttamente e se è visibile nel DNS. Il fatto che sia utile per la risoluzione dei problemi o per verificare il corretto funzionamento di una configurazione DKIM attiva.

    Metodo D: Utilizzo del monitoraggio e della reportistica DMARC

    Gli strumenti di monitoraggio DMARC possono aiutare a individuare i modelli DKIM nei vari domini e flussi di posta. La reportistica aggregata non sostituisce in alcun modo una verifica diretta del DKIM, ma può aiutare i team a identificare quali mittenti stanno apponendo la firma, quali flussi presentano errori e dove compaiono i diversi selettori DKIM all’interno dell’ambiente.

    Convenzioni di denominazione comuni per i selettori

    I selettori assumono solitamente un formato del tipo selettore._domainkey.dominio. Molte organizzazioni utilizzano nomi descrittivi legati a al fornitore, allo scopo o al programma di rotazione. I selettori comuni possono fare riferimento a una piattaforma, a un ambiente o a una sequenza, come ad esempio google, selector1, selector2, mktg2026 o un’etichetta specifica del fornitore. La pratica migliore è la coerenza. Un nome descrittivo per il selettore ( ) è più facile da monitorare, alternare e risolvere eventuali problemi in un secondo momento.

    Come configurare e pubblicare un selettore DKIM

    La procedura per la pubblicazione di un DKIM è solitamente breve, ma è fondamentale prestare attenzione alla precisione. Anche piccoli errori nel selettore o nel record DNS “ ” possono impedire ai server riceventi di convalidare correttamente la firma.

    Fase 1: Scegliere o generare il selettore

    Inizi con un nome di selettore univoco che corrisponda alla configurazione DKIM della piattaforma di invio. Alcune piattaforme generano automaticamente questo per voi. Altri vi consentono di definirlo manualmente.

    Fase 2: Generare o recuperare i dettagli della chiave DKIM

    Si prega di richiedere al provider di posta elettronica il selettore, il tipo di record e il valore DNS. A seconda della piattaforma, ciò può includere un record TXT contenente la chiave pubblica oppure un record CNAME che punta altrove.

    Fase 3: Creare il nome host DNS

    Formattate il nome host nel formato selector._domainkey.domain. Ecco quali dati verranno richiesti dal server ricevente durante la verifica DKIM .

    Fase 4: Pubblicare il record DKIM nel DNS pubblico

    Inserisca il nome host e il valore esatti presso il provider DNS del dominio. In questa fase è necessario utilizzare il tipo di record e il valore “ ” richiesti dalla piattaforma di invio.

    Fase 5: Abilitare la firma DKIM nella piattaforma di invio

    Una volta configurato il record DNS, attivi la firma DKIM presso il provider di posta elettronica. La semplice pubblicazione del record non garantisce che la posta in tempo reale venga firmata.

    Fase 6: Verificare che il selettore funzioni correttamente

    Verifichi la risoluzione DNS, quindi esamini i messaggi in tempo reale per confermare che i risultati del controllo DKIM siano positivi. Un record presente nel DNS è utile, ma nella pr a la posta vera e propria deve comunque superare la convalida DKIM.

    Gestione dei selettori DKIM

    I selettori DKIM non sono un elemento da configurare una sola volta. È opportuno monitorarli nell’ambito delle procedure di gestione dell’autenticazione delle e-mail, in particolare in ambienti che utilizzano Google Workspace, Microsoft 365, Amazon SES e più mittenti di terze parti.

    Una buona documentazione contribuisce a mantenere organizzata la gestione dei selettori nel tempo. I team dovrebbero tenere traccia del nome del selettore, del dominio, del servizio di invio , della lunghezza della chiave, della data di pubblicazione e della tempistica prevista per la rotazione della chiave. Anche la visibilità continua è importante, e uno strumento di reportistica DMARC può aiutare i team a individuare fonti non conformi, problemi relativi ai selettori e lacune ricorrenti nell’autenticazione nei diversi flussi di posta.

    Il ciclo di vita di un selettore DKIM corretto comprende solitamente:

    • Pianificazione del selettore e delle convenzioni di denominazione
    • Pubblicazione del documento
    • Attivazione della firma
    • Rotazione delle chiavi nel tempo<
    • Verifica dei vecchi selettori prima della loro dismissione

    I selettori obsoleti non dovrebbero essere rimossi finché i team non avranno confermato che nessun flusso di posta attivo dipende ancora da essi. La rimozione prematura di un selettore può compromettere l'autenticazione DKIM per i sistemi che continuano a utilizzare tale selettore per la firma.

    Perché le organizzazioni utilizzano più selettori DKIM?

    Le organizzazioni utilizzano spesso più selettori DKIM poiché un unico dominio può supportare diversi servizi di invio o flussi di e- . Microsoft 365, Google Workspace, Amazon SES e le piattaforme di terze parti possono utilizzare selettori distinti, e lo stesso vale per diversi tipi di messaggi, quali le e-mail di marketing e quelle transazionali.

    I selettori multipli semplificano inoltre la gestione delle chiavi. Consentono una rotazione più agevole delle chiavi, modifiche graduali, test e transizioni tra fornitori di servizi di " " senza interrompere l'autenticazione della posta. L'uso di più selettori è una pratica comune. Il vero problema non è il numero di selettori, bensì se ciascuno di essi sia pubblicato correttamente e collegato al servizio di invio corretto.

    Firma DKIM: record TXT e CNAME

    Il DKIM può essere implementato tramite modelli basati su TXT o su CNAME.

    DKIM basato su TXT

    Con il DKIM basato su TXT, la chiave pubblica viene pubblicata direttamente nel DNS del dominio sotto forma di record TXT DNS. Ciò è comune nelle piattaforme di tipo “ ” come Google Workspace, in cui il titolare del dominio pubblica direttamente il materiale della chiave DKIM.

    DKIM basato su CNAME

    Con il DKIM basato su CNAME, il record selettore punta a un altro dominio che ospita il materiale della chiave DKIM. , parte di Microsoft 365, utilizza comunemente questo modello e richiede record CNAME per DKIM sui domini personalizzati.

    Entrambi i modelli supportano l'autenticazione DKIM valida. La regola principale è quella di attenersi esattamente al tipo e al formato di record richiesti dal provider di posta elettronica. I team non dovrebbero imporre l'uso di record TXT o CNAME in base alle proprie preferenze, qualora il provider si aspetti o qualcos'altro.

    Problemi comuni relativi al selettore DKIM e risoluzione dei problemi con &

    I problemi relativi al selettore sono solitamente semplici da risolvere, una volta che i team sanno dove cercare. Tra i problemi più comuni figurano:

    • Discrepanza tra il selettore presente nell'intestazione dell'e-mail e quello pubblicato nel DNS
    • Record DKIM mancante o non aggiornato
    • Record DNS non corretto
    • Il selettore è ancora in uso, nonostante le squadre ritenessero che fosse stato messo fuori servizio

    Questi errori possono compromettere i controlli DKIM, contribuire a una configurazione errata di DMARC() e compromettere la deliverability delle e-mail. Possono inoltre minare la fiducia nei confronti del mittente nel corso del tempo, qualora gli errori di autenticazione si ripetano in modo in flussi di posta importanti. La soluzione pratica consiste nel confrontare fianco a fianco l’intestazione della firma DKIM in tempo reale, il record DNS “ ” e la configurazione DKIM della piattaforma di invio prima di apportare modifiche.

    Garantire che la verifica DKIM sia orientata nella direzione corretta

    I selettori DKIM svolgono un ruolo semplice ma importante nell'autenticazione delle e-mail. Aiutano i server destinatari a individuare la chiave pubblica corretta per la verifica DKIM, garantendo che la verifica della firma sia associata al record DNS e al dominio corretti.

    Per le organizzazioni che gestiscono ambienti di invio complessi, Mimecast può contribuire a migliorare la visibilità su DKIM, SPF e DMARC tra domini, provider e flussi di posta. Strumenti come DKIM Record Checker e DMARC Analyzer sono particolarmente utili per individuare problemi relativi ai selettori, lacune nella firma e problemi di autenticazione più generali.

    Esplora l'Analizzatore Mimecast DMARC

    Risorse correlate relative al selettore DKIM

    Resources_03.jpg
    Email Collaboration Threat Protection

    Get More from Microsoft 365 with Mimecast

    Infographic
    Resources_17.jpg
    Email Collaboration Threat Protection

    Email Security: API-Based Proof of Value

    Datasheet
    tumbnail_senata.png
    Email Collaboration Threat Protection

    How senata Took Back Control of Email Security with Mimecast

    Case Study
    Back to Top