DomainKeys Identified Mail, o DKIM, è uno standard tecnico che aiuta a proteggere mittenti e destinatari di email da spam, spoofing e phishing.  È una forma di autenticazione email che consente a un'organizzazione di rivendicare la responsabilità di un messaggio in un modo che può essere convalidato dal destinatario.

In particolare, utilizza un approccio chiamato “crittografia a chiave pubblica” per verificare che un messaggio email sia stato inviato da un server di posta autorizzato, al fine di rilevare la contraffazione e prevenire la consegna di email dannose come lo spam. Integra SMTP, il protocollo di base utilizzato per inviare email, perché di per sé non include meccanismi di autenticazione.

Come funziona?

Funziona aggiungendo una firma digitale alle intestazioni di un messaggio email. Quella firma può essere convalidata rispetto a una chiave crittografica pubblica nei record del Domain Name System (DNS) dell’organizzazione. In termini generali, il processo funziona così:

Un proprietario di dominio pubblica una chiave pubblica crittografica come record TXT specificamente formattato nei record DNS complessivi del dominio.

Quando un messaggio di posta viene inviato da un server di posta in uscita, il server genera e allega una intestazione firma DKIM unica al messaggio. Questa intestazione include due hash crittografici, uno delle intestazioni specificate e uno del corpo del messaggio (o parte di esso). L'intestazione contiene informazioni su come la firma è stata generata.

Quando un server di posta in entrata riceve un'email in arrivo, esamina la chiave pubblica DKIM del mittente nel DNS. Il server in entrata utilizza questa chiave per decrittografare la firma e confrontarla con una versione calcolata di fresco. Se i due valori coincidono, il messaggio può essere provato autentico e non alterato durante il transito.

Cos’è una firma DKIM?

Una firma DKIM è un'intestazione aggiunta ai messaggi email. L'intestazione contiene valori che consentono a un server di posta ricevente di convalidare il messaggio email esaminando la chiave DKIM del mittente e utilizzandola per verificare la firma crittografata. Essa appare in questo modo:

DKIM-Signature: v=1; 
  a=rsa-sha256; 
  c=relaxed/relaxed; 
  d=sparkpost.com; 
  s=google; 
  h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; 
  bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; 
  b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un'intestazione firma DKIM accorpa molte informazioni, poiché è destinata all'elaborazione automatica. Come si vede in questo esempio, l'intestazione contiene un elenco di parti tag=valore. I tag notevoli includono “d=” per il dominio firmatario, “b=” per la firma digitale effettiva, e “bh=” per un hash che può essere verificato ricalcolando utilizzando la chiave pubblica del mittente.

Le firme sono per definizione uniche da messaggio a messaggio, ma questi elementi di base saranno presenti in ogni intestazione firma DKIM.

Come è correlato a SPF, DMARC o altri standard?

DKIM, SPF e DMARC sono tutti standard che abilitano diversi aspetti dell'autenticazione email. Affrontano problemi complementari.

• SPF consente ai mittenti di definire quali indirizzi IP sono autorizzati a inviare email per un particolare dominio.

• DKIM fornisce una chiave di crittografia e una firma digitale che verifica che un messaggio email non sia stato falsificato o alterato.

• DMARC unifica i meccanismi di autenticazione SPF e DKIM in un quadro comune e consente ai proprietari di domini di dichiarare come vogliono che le email di quel dominio siano gestite se non superano un test di autorizzazione.

Ho bisogno di DKIM?

Se sei un’azienda che invia email commerciali o transazionali, hai certamente bisogno di implementare una o più forme di autenticazione email per verificare che un’email provenga effettivamente da te o dalla tua azienda. Configurare correttamente gli standard di autenticazione email è uno dei passi più importanti che puoi fare per migliorare la tua consegna. Tuttavia, da sola, va solo fino a un certo punto; SparkPost e altri esperti di email raccomandano anche di implementare SPF e DMARC per definire una politica di autenticazione email più completa.