Mimecast Logo
Richiedi un preventivo

    Come impostare un record DKIM

    Scopra come impostare il DKIM abbinando il selettore, il record DNS e la piattaforma di invio. Una corretta impostazione aiuta a garantire l'autenticazione delle e-mail e a migliorare la deliverability.
    Fissare una dimostrazione
    Come impostare DKIM
    Fissare una dimostrazione
    Punti principali

    Cosa imparerai in questo articolo

    • L'apprendimento di come impostare il DKIM inizia con l'identificazione del sistema che effettivamente invia le sue e-mail in uscita, poiché il firmatario sbagliato può interrompere l'autenticazione DKIM.
    • Un record DKIM funzionante dipende dalla corretta corrispondenza di tre elementi: il selettore DKIM, la chiave pubblica pubblicata dal DNS e la piattaforma che esegue la firma DKIM.
    • La sola pubblicazione della voce DNS non è sufficiente; deve anche abilitare il DKIM nella piattaforma di invio e verificare che i messaggi live passino.
    • Il DKIM è più efficace se abbinato a un record SPF e a un record DMARC, come parte di una strategia di sicurezza e-mail più ampia.

    Se desidera un'autenticazione e-mail più forte, DKIM è uno dei controlli più importanti da configurare correttamente. Aiuta a dimostrare che un messaggio e-mail proviene dal dominio dichiarato e non è stato alterato durante il transito, il che supporta la fiducia, la deliverability di e la protezione contro lo spoofing delle e-mail. 

    Cos'è il DKIM e come funziona

    DKIM, o Domain Keys Identified Mail, è un metodo di autenticazione utilizzato per verificare che un messaggio sia stato autorizzato dal dominio mittente e non sia stato manomesso dopo l'invio. Non cripta il messaggio. Invece, aggiunge una firma DKIM all'intestazione dell'e-mail.

    Il DKIM ha quattro componenti chiave:

    • Firma: aggiunta all'intestazione del messaggio
    • Chiave pubblica: pubblicata nel DNS come record TXT o, in alcune piattaforme, tramite un record CNAME delegato.
    • Verifica: il sistema ricevente controlla la firma rispetto alla chiave pubblicata dal DNS.
    • Risultato: il messaggio supera l'autenticazione DKIM

    Una volta che questi pezzi sono al loro posto, il passo successivo è assicurarsi che siano configurati correttamente nel suo ambiente. L'impostazione di un record DKIM segue in genere la seguente procedura.

    1. Valutare il suo ambiente e-mail prima di creare un record DKIM

    Prima di apportare qualsiasi modifica al DNS, verifichi il suo flusso di posta in uscita. Molte organizzazioni inviano e-mail da più di un sistema, come Microsoft 365, Google Workspace, un CRM, una piattaforma di ticketing o un altro provider di servizi e-mail. Alcuni instradano la posta attraverso un gateway o un relay sicuro. 

    In pratica, la configurazione può variare a seconda della piattaforma, quindi è utile tenere conto delle differenze in anticipo. soprattutto se il suo ambiente include l'impostazione di DKIM in Office 365 o deve configurare DKIM in Google Workspace come parte del rollout.

    Il primo obiettivo è identificare quale sistema deve firmare la posta in uscita. Nella maggior parte dei casi, il firmatario DKIM dovrebbe essere la piattaforma che invia effettivamente il messaggio al destinatario. Se un altro server di posta o un gateway sicuro modifica il messaggio dopo la firma, la firma può fallire anche se il DNS è corretto. 

    Questa è una delle cause più comuni di rottura dell'impostazione DKIM negli ambienti più grandi. Se gestisce più domini o un dominio personalizzato con diversi servizi di invio, li documenti tutti prima di iniziare.

    2. Raccogliere i prerequisiti per la configurazione DKIM

    Prima di configurare DKIM, confermi l'accesso ai sistemi coinvolti. In genere, avrà bisogno di:

    • Accesso dell'amministratore alla piattaforma di invio che gestisce la chiave DKIM
    • Accesso al provider DNS o alla società di registrazione del dominio che ospita il DNS del dominio.
    • Il dominio di invio
    • Il selettore DKIM
    • Il tipo di record e il valore che la piattaforma fornisce

    Alcuni provider le chiedono di generare le chiavi DKIM nella console di amministrazione. Altri creano automaticamente la coppia di chiavi e semplicemente le chiedono di pubblicare il valore DNS. In ogni caso, catturi il nome dell'host e il valore esattamente come mostrato. Un piccolo errore di battitura nel selettore , nell'host o nel valore della chiave può interrompere l'intera configurazione DKIM. 

    È utile anche documentare lo stato attuale del record SPF e del record DMARC , poiché il DKIM funziona meglio quando tutti e tre i livelli di autenticazione sono allineati. Scopra come Mimecast DMARC Analyzer può semplificare il monitoraggio, il reporting e l'applicazione nei suoi domini.

    Controllore SPF DKIM DMARC

    Gli strumenti gratuiti di controllo SPF, DKIM, BIMI e DMARC di Mimecast offrono ai team di sicurezza e IT un modo rapido per verificare la salute del dominio e identificare le configurazioni errate.
    Controlla ora

    3. Generare la coppia di chiavi DKIM nella sua piattaforma e-mail

    Successivamente, crei o recuperi i valori DKIM nella sua piattaforma di invio. Le schermate esatte variano, ma la maggior parte delle piattaforme espone questo nelle impostazioni di amministrazione della posta, di sicurezza o di autenticazione.

    In questa fase, si concentri su due dettagli: il selettore DKIM e la chiave pubblica o il valore dell'host delegato. Il selettore diventa parte del nome host DNS, spesso in un formato come:

    selettore1._domainkey.example.com

    Questo selettore deve corrispondere al valore che la piattaforma si aspetta durante la firma DKIM. Se non lo fa, il sistema ricevente non troverà la chiave giusta durante la ricerca.

    Questo è anche il punto in cui le organizzazioni possono decidere se hanno bisogno di più record DKIM. Questo è valido a condizione che ogni mittente utilizzi un selettore diverso e che i record siano gestiti in modo pulito.

    4. Pubblicare il record DKIM nel DNS

    Ora aggiunga il record DNS all'host DNS del dominio. In molti casi, si tratta di un record TXT contenente la chiave pubblica. In altri casi, la piattaforma può richiedere un record CNAME che deleghi il DKIM al provider. Segua il formato esatto che le fornisce la sua piattaforma .

    Un host valido di solito include il selettore più ._domainkey, e il valore contiene i parametri DKIM e le informazioni sulla chiave . Prima di salvare, verifichi attentamente che:

    • Spazi extra
    • Corde rotte
    • Virgolette non corrette
    • Pubblicare il record nella zona DNS sbagliata
    • Utilizzo di un tipo di record sbagliato

    La maggior parte dei provider consente di mantenere il TTL predefinito, a meno che la sua organizzazione non abbia una politica DNS specifica. Si aspetti anche un certo ritardo mentre il record si propaga attraverso il sistema dei nomi di dominio.

    5. Abilitare la firma DKIM nella Piattaforma di invio

    La pubblicazione della voce DNS non completa il processo. Deve anche abilitare il DKIM nella piattaforma di invio, in modo che inizi a firmare le e-mail in uscita.

    La maggior parte delle piattaforme richiede di tornare alla console di amministrazione dopo che il DNS è attivo e di attivare la firma per quel dominio. Senza questo passaggio, il record DKIM può esistere nel DNS mentre i messaggi reali rimangono non firmati.

    Questo è anche il punto in cui il routing e la politica contano. Se un relay, un gateway sicuro o una regola di trasporto modifica il corpo o le intestazioni delle chiavi dopo la firma, la firma potrebbe fallire. Ecco perché è importante allineare il firmatario con il punto di invio finale reale . 

    6. Provi e verifichi che il DKIM funzioni correttamente.

    Dopo l'attivazione, verifichi il comportamento del DNS e dei messaggi live. Per prima cosa, utilizzi un DNS lookup o DKIM record checker per confermare che il selettore si risolve correttamente. 

    In secondo luogo, invii un messaggio di prova a una casella postale esterna e ispezioni le intestazioni del messaggio. Cerchi una firma DKIM nell'intestazione dell'e-mail e un risultato di autenticazione che mostri il passaggio DKIM. Questa distinzione è importante: un record esistente nel DNS non garantisce che la posta reale stia effettivamente passando DKIM.

    7. Risoluzione dei problemi comuni di impostazione del DKIM

    Se il DKIM non funziona, inizi a verificare i problemi di configurazione più comuni:

    • Il selettore sbagliato
    • Chiave incompleta o malformata
    • Record pubblicato nella zona DNS sbagliata
    • Tipo di record sbagliato
    • La propagazione DNS non è stata completamente completata

    Confronta la voce DNS live con i valori esatti generati dalla piattaforma di invio. Se il lato DNS è corretto, passa al flusso di posta. I fallimenti in questa fase sono spesso causati da più mittenti in uscita che utilizzano lo stesso dominio senza selettori coordinati. 

    Questi possono anche essere dovuti a strumenti di terze parti che inviano la posta senza autorizzazione, a dispositivi di inoltro o di sicurezza che riscrivono il messaggio dopo la firma, o a modifiche del routing che eludono il firmatario previsto.

    Di solito si tratta di problemi operativi piuttosto che di semplici errori DNS, ed è per questo che l'impostazione del DKIM dovrebbe essere trattata come parte di un processo più ampio di governance e di gestione del flusso di posta.

    8. Rafforzare il DKIM con SPF, DMARC e la governance continua.

    Il DKIM funziona meglio come un livello di una strategia anti-spoofing più ampia. DKIM firma il messaggio, SPF convalida le fonti di invio approvate, e DMARC applica i criteri e i rapporti quando l'autenticazione fallisce. Insieme, supportano una più forte convalida del mittente e una migliore deliverability delle e-mail di .

    Anche la governance in corso è importante. Una buona igiene comprende:

    • Monitoraggio dei fallimenti di autenticazione
    • Esaminare i mittenti non autorizzati
    • Aggiornare la documentazione quando i mittenti cambiano
    • Rotazione periodica dei tasti
    • Revisione delle politiche in più domini

    Man mano che gli ambienti diventano più complessi, il DKIM deve essere gestito come un controllo continuo, non come un'attività una tantum.

    La corretta impostazione di DKIM supporta la fiducia e l'autenticazione.

    Per capire come impostare il DKIM, si concentri sull'essenziale: identificare il firmatario giusto, raccogliere i dettagli del selettore corretto e della chiave , pubblicare la voce DNS in modo accurato, abilitare la firma nella piattaforma e verificare che i messaggi reali passino. Se fatto correttamente, DKIM aiuta a proteggere l'integrità del messaggio, a rafforzare la fiducia nel dominio e a migliorare l'autenticazione complessiva delle e-mail .

    Per le organizzazioni che desiderano una convalida più semplice e una migliore visibilità su DKIM, SPF e DMARC, Mimecast offre strumenti e servizi per semplificare la gestione.

    Provi il nostro verificatore di record DKIM

    Risorse correlate

    Resources_49.jpg
    Email Collaboration Threat Protection

    Get More from Microsoft 365 with Mimecast

    Infographic
    Resources_19.jpg
    Email Collaboration Threat Protection

    Email Security: API-Based Proof of Value

    Datasheet
    tumbnail_senata.png
    Email Collaboration Threat Protection

    How senata Took Back Control of Email Security with Mimecast

    Case Study
    Back to Top