DomainKeys Identified Mail, o DKIM, è uno standard tecnico che aiuta a proteggere i mittenti e i destinatari di email da spam, spoofing e phishing.  È una forma di autenticazione email che permette a un'organizzazione di rivendicare la responsabilità di un messaggio in un modo che può essere convalidato dal destinatario.

Specificamente, utilizza un approccio chiamato "crittografia a chiave pubblica" per verificare che un messaggio email sia stato inviato da un server di posta autorizzato, al fine di rilevare falsificazioni e prevenire la consegna di email dannose come spam. Integra SMTP, il protocollo di base utilizzato per inviare email, perché non include meccanismi di autenticazione di per sé.

Come funziona?

Funziona aggiungendo una firma digitale alle intestazioni di un messaggio email. Quella firma può essere convalidata rispetto a una chiave crittografica pubblica nei record del Domain Name System (DNS) dell'organizzazione. In termini generali, il processo funziona in questo modo:

Il proprietario di un dominio pubblica una chiave crittografica pubblica come record TXT formattato in modo speciale nei record DNS complessivi del dominio.

Quando un messaggio di posta viene inviato da un server di posta in uscita, il server genera e allega un'intestazione di firma DKIM unica al messaggio. Questa intestazione include due hash crittografici, uno di intestazioni specificate e uno del corpo del messaggio (o parte di esso). L'intestazione contiene informazioni su come è stata generata la firma.

Quando un server di posta in entrata riceve un'email in arrivo, cerca la chiave DKIM pubblica del mittente nel DNS. Il server di arrivo utilizza questa chiave per decrittare la firma e confrontarla con una versione calcolata di fresco. Se i due valori corrispondono, il messaggio può essere dimostrato come autentico e non alterato durante il transito.

Cos'è una firma DKIM?

Una firma DKIM è un'intestazione aggiunta ai messaggi email. L'intestazione contiene valori che consentono a un server di posta ricevente di convalidare il messaggio email cercando la chiave DKIM del mittente e utilizzandola per verificare la firma crittografata. Sembra qualcosa di simile a questo:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un'intestazione di firma DKIM raccoglie molte informazioni, poiché è destinata a essere elaborata automaticamente. Come si può vedere in questo esempio, l'intestazione contiene un elenco di parti tag=valore. I tag notevoli includono "d=" per il dominio di firma, "b=" per la firma digitale effettiva e "bh=" per un hash che può essere verificato ricalcolando utilizzando la chiave pubblica del mittente.

Le firme sono per definizione uniche da messaggio a messaggio, ma questi elementi di base saranno presenti in ogni intestazione di firma DKIM.

Come si relazione con SPF, DMARC o altri standard?

DKIM, SPF e DMARC sono tutti standard che abilitano diversi aspetti dell'autenticazione email. Affrontano problemi complementari.

• SPF consente ai mittenti di definire quali indirizzi IP sono autorizzati a inviare posta per un determinato dominio.

• DKIM fornisce una chiave di crittografia e una firma digitale che verifica che un messaggio email non sia stato falsificato o alterato.

• DMARC unifica i meccanismi di autenticazione SPF e DKIM in un quadro comune e consente ai proprietari di domini di dichiarare come vogliono che le email da quel dominio siano gestite se falliscono un test di autorizzazione.

Ho bisogno di DKIM?

Se sei un'azienda che invia email commerciali o transazionali, hai certamente bisogno di implementare una o più forme di autenticazione email per verificare che un'email provenga effettivamente da te o dalla tua azienda. Configurare correttamente gli standard di autenticazione email è uno dei passi più importanti che puoi fare per migliorare la tua consegna. Tuttavia, da solo va solo così lontano; SparkPost e altri esperti di email raccomandano anche di implementare SPF e DMARC per definire una policy di autenticazione email più completa.