Cosa imparerai in questo articolo
- Google Workspace DKIM aiuta a verificare le e-mail in uscita con una firma crittografica, che supporta un'autenticazione e-mail più forte, la fiducia nel dominio e una migliore deliverability delle e-mail.
- Prima di iniziare, confermi che il suo dominio è verificato, che Gmail è attivo per quel dominio e che il suo team ha accesso alle impostazioni DNS corrette presso l'host del dominio.
- Il flusso di configurazione principale è semplice: generi la chiave nella console di amministrazione di Google, pubblichi il record TXT nel DNS, quindi ritorni e faccia clic su Avvia autenticazione.
- Il DKIM è più efficace se combinato con SPF e DMARC come parte di una strategia di sicurezza e-mail più ampia.
L'impostazione di DKIM in Google Workspace è uno dei modi più pratici per rafforzare la fiducia nelle e-mail in uscita. Quando è configurato correttamente, aiuta i destinatari a verificare la legittimità dei suoi messaggi, migliora la deliverability e rende più difficile lo spoofing di .
Questa guida illustra il processo di configurazione, le insidie più comuni e come collegare DKIM a SPF, DMARC e alla più ampia sicurezza delle e-mail .
Che cos'è il DKIM e perché è importante?
DKIM, o DomainKeys Identified Mail, è un metodo di autenticazione delle e-mail che consente a un sistema di invio di allegare una firma crittografica alle e-mail in uscita. Il sistema di posta del destinatario utilizza la chiave pubblica pubblicata nel DNS per convalidare la firma DKIM e confermare che il messaggio è stato autorizzato dal dominio di invio e non è stato alterato durante il transito.
Ci sono alcuni motivi per cui DKIM è importante per la sicurezza e l'autenticazione delle e-mail:
- Aiuta a verificare l'integrità del messaggio
- Rafforza la fiducia nella posta elettronica del suo dominio
- Supporta un migliore posizionamento nella posta in arrivo e la deliverability, se abbinato a SPF e DMARC.
Scopra come Mimecast DMARC Analyzer può semplificare il monitoraggio, il reporting e l'applicazione nei suoi domini.
Prerequisiti prima di impostare DKIM
Prima di iniziare l'impostazione di Google Workspace DKIM, si assicuri che le basi siano a posto. Il flusso di configurazione di Google presuppone che il dominio sia già attivo per Gmail e che l'amministratore possa apportare modifiche sia in Workspace che a livello DNS.
Dovrebbe confermare:
- La verifica del dominio è completa in Google Workspace.
- Lei o un compagno di squadra ha accesso al provider o al registrar DNS del dominio.
- L'impostazione della gestione del team può lavorare con i record DNS, compreso un nuovo record di testo, i nomi dei selettori e i valori TXT.
- Gmail è già attivato per quel dominio in Google Workspace prima di cercare di generare la chiave DKIM.
Se Gmail è stato abilitato solo di recente per il dominio, Google potrebbe non consentirle di generare immediatamente la chiave DKIM nella console di amministrazione di Google Workspace. Questo periodo di attesa è normale e può ritardare la fase successiva.
È utile anche rivedere prima il percorso della posta in uscita. DKIM può rompersi se i messaggi vengono modificati dopo la firma. Questo può accadere quando i gateway in uscita, gli strumenti di posta sicura o i servizi di routing modificano le intestazioni o i corpi dei messaggi dopo l'applicazione della firma .
Dopo aver confermato di avere i requisiti necessari, può ora procedere con l'impostazione di DKIM in Google Workspace.
Passo 1: Generare la chiave DKIM in Google Workspace
Il primo passo consiste nel generare la chiave DKIM nella console di amministrazione. Nel flusso documentato di Google, vada su:
Admin console > Apps > Google Workspace > Gmail > Autenticare l'e-mail
Da lì, selezioni il dominio corretto prima di generare il record. Questo è importante in ambienti con domini multipli o sottodomini, perché le impostazioni DKIM sono specifiche del dominio.
Quando clicca su Genera nuovo record, Google le chiede di fare due scelte fondamentali:
- Lunghezza bit della chiave DKIM: Google raccomanda 2048 bit se il suo provider di dominio la supporta; 1024 bit è il ripiego per gli host di con limitazioni di lunghezza TXT.
- Selettore: Google utilizza il selettore predefinito Google, che di solito va bene, a meno che il selettore non sia già in uso. Se lo è, scelga invece un selettore di prefisso o un altro selettore chiaro e univoco.
Passo 2: pubblicare il record TXT DKIM nel DNS
Dopo che Google ha generato la chiave, deve aggiungere il record DNS DKIM al suo host di dominio. Google fornisce due importanti valori di :
- Nome host, come Google._domainkey
- Valore TXT, che inizia con v=DKIM1; e comprende la chiave pubblica (p=)
Aggiunga questo record TXT all'area di gestione DNS del suo registrar o provider DNS e lo salvi. Si tratta del record DNS effettivo che i sistemi riceventi interrogheranno durante l'autenticazione DKIM.
Se il suo provider supporta più frammenti di record DNS TXT per valori lunghi, segua esattamente le sue regole di formattazione. Se non lo fa, il record potrebbe essere pubblicato in modo errato, anche se il testo appare corretto nella console.
Passo 3: Avviare l'autenticazione DKIM in Google Workspace
Una volta che la voce DNS è stata pubblicata, torni alla console di amministrazione di Google e torni alla pagina:
Apps > Google Workspace > Gmail > Autenticare l'email
Selezioni lo stesso dominio e clicchi su Avvia autenticazione, ma solo dopo che il record DNS è stato effettivamente aggiunto. Lo stato di successo documentato da Google è che la pagina cambia per indicare che il dominio sta autenticando le e-mail con DKIM.
È normale che la console mostri uno stato di avviso o di attesa per un po' di tempo, anche quando l'aggiornamento DNS è corretto. Il ritardo di è spesso causato dalla propagazione del DNS, non da un'impostazione errata.
Passo 4: verificare che il DKIM stia funzionando
Non dia per scontato che l'impostazione sia riuscita solo perché il record è stato pubblicato. È altrettanto importante testare il flusso di posta in diretta.
Per farlo, invii un messaggio di prova dall'account configurato a una casella di posta elettronica separata di Gmail o Google Workspace, non alla casella di posta elettronica dello stesso mittente . Google specifica che non è possibile verificare il DKIM inviando un messaggio di prova.
Quindi apra il messaggio ricevuto in Gmail e utilizzi Mostra originale per ispezionare le intestazioni. Vuole confermare che DKIM passi per il selettore e il dominio previsti. Questo è il modo più diretto per convalidare la firma dal vivo.
I metodi di verifica più rapidi sono:
- Controllare le intestazioni dei messaggi in Gmail
- Eseguire una ricerca DNS per confermare che la chiave pubblica del selettore è visibile.
Anche un verificatore di record DKIM di può aiutare a confermare che il record è pubblicato, ma deve essere trattato come un supplemento, non come un sostituto della verifica dell'intestazione . Un record DNS visibile, da solo, non prova che un'e-mail live sia effettivamente firmata correttamente.
Passo 5: Risoluzione dei problemi comuni di Google Workspace DKIM
Le cause più comuni dei problemi DKIM dopo la configurazione sono semplici:
- Ritardo di propagazione DNS
- Nome host o selettore sbagliato
- Valori TXT troncati
- Selezionare il dominio sbagliato nella console di amministrazione
Anche quando il record DNS è corretto, il DKIM può comunque fallire se qualcosa modifica il messaggio dopo la firma di Google. Questo include le modifiche apportate da gateway, strumenti di filtraggio o piattaforme di posta elettronica sicura. In questi casi, il problema non è il record in sé, ma il percorso del messaggio.
Questo diventa più complesso negli ambienti aziendali, dove piattaforme di terze parti inviano per conto dello stesso dominio. La firma della posta di Google Workspace riguarda solo la posta inviata attraverso i sistemi di Google. Se anche un CRM, una piattaforma di marketing o uno strumento di ticketing invia da quel dominio, potrebbe avere bisogno di un proprio selettore diverso, di una propria configurazione di firma e di una propria revisione di allineamento.
Passo 6: collegare DKIM a SPF, DMARC e alla sicurezza più ampia delle email
Il DKIM è un controllo importante, ma è più forte come parte di una strategia stratificata. Google consiglia di impostare insieme SPF, DKIM e DMARC per i suoi domini. Questi metodi funzionano come una pila:
- DKIM firma il messaggio
- Sender Policy Framework convalida se l'infrastruttura di invio è autorizzata.
- DMARC in Google applica i criteri e i rapporti quando l'autenticazione fallisce
Ciò significa che il suo progetto DKIM dell'area di lavoro di Google deve affiancare il suo record SPF e il record DMARC, non separarsi da essi. Se utilizza Google come mittente, la guida SPF di Google fa comunemente riferimento a un'inclusione SPF come include:_spf.google.com; Si assicuri che la sintassi finale dell'SPF sia corretta per il suo ambiente.
Se implementati insieme, questi controlli riducono lo spoofing, migliorano la deliverability delle e-mail e aiutano a creare fiducia nelle e-mail di dirigenti e dipendenti di . Inoltre, favoriscono la riduzione del rischio umano, rendendo più difficile l'impersonificazione e la consegna di e-mail sospette .
Impostare il DKIM di Google Workspace per rafforzare la fiducia
Le fasi di impostazione di Google Workspace DKIM non sono complicate, ma richiedono un'attenta coordinazione tra Workspace, DNS e flusso di posta. Generi la chiave nella console di amministrazione di Google Workspace, pubblichi correttamente il record TXT , avvii l'autenticazione solo dopo che il DNS è attivo e verifichi i risultati attraverso l'ispezione dell'intestazione in tempo reale.
Soprattutto, consideri il DKIM come parte di una più ampia strategia di sicurezza delle e-mail. Ogni dominio mittente ha bisogno della propria configurazione valida di e i migliori risultati a lungo termine si ottengono quando DKIM è combinato con SPF e DMARC per una protezione più forte, una maggiore fiducia e una deliverability più affidabile.