DomainKeys Identified Mail, o DKIM, è uno standard tecnico che aiuta a proteggere i mittenti e i destinatari delle email da spam, spoofing e phishing.  È una forma di autenticazione email che consente a un'organizzazione di rivendicare la responsabilità di un messaggio in modo che possa essere convalidato dal destinatario.

In particolare, utilizza un approccio chiamato "crittografia a chiave pubblica" per verificare che un messaggio di posta elettronica sia stato inviato da un server di posta autorizzato, al fine di rilevare la falsificazione e prevenire la consegna di email dannose come lo spam. Esso completa SMTP, il protocollo di base utilizzato per inviare email, poiché non include meccanismi di autenticazione.

Come funziona?

Funziona aggiungendo una firma digitale alle intestazioni di un messaggio email. Quella firma può essere convalidata rispetto a una chiave crittografica pubblica nei record del Sistema dei Nomi di Dominio (DNS) dell'organizzazione. In termini generali, il processo funziona in questo modo:

Un proprietario di dominio pubblica una chiave pubblica crittografica come record TXT formattato appositamente nei record DNS complessivi del dominio.

Quando un messaggio di posta viene inviato da un server di posta in uscita, il server genera e allega un'intestazione di firma DKIM unica al messaggio. Questa intestazione include due hash crittografici, uno delle intestazioni specificate e uno del corpo del messaggio (o parte di esso). L'intestazione contiene informazioni su come è stata generata la firma.

Quando un server di posta in entrata riceve un'email in arrivo, cerca la chiave pubblica DKIM del mittente nel DNS. Il server in entrata utilizza questa chiave per decifrare la firma e confrontarla con una versione appena calcolata. Se i due valori corrispondono, il messaggio può essere dimostrato come autentico e non alterato nel transito.

Cos'è una firma DKIM?

Una firma DKIM è un'intestazione aggiunta ai messaggi email. L'intestazione contiene valori che consentono a un server di posta ricevente di convalidare il messaggio email cercando la chiave DKIM del mittente e utilizzandola per verificare la firma crittografata. Assomiglia a qualcosa del genere:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un'intestazione di firma DKIM racchiude molte informazioni, poiché è destinata all'elaborazione automatica. Come puoi vedere in questo esempio, l'intestazione contiene un elenco di parti tag=valore. I tag notevoli includono "d=" per il dominio di firma, "b=" per la firma digitale attuale e "bh=" per un hash che può essere verificato ricalcolando utilizzando la chiave pubblica del mittente.

Le firme sono per definizione uniche da messaggio a messaggio, ma questi elementi di base saranno presenti in ogni intestazione di firma DKIM.

Come è correlato a SPF, DMARC, o ad altri standard?

DKIM, SPF e DMARC sono tutti standard che abilitano diversi aspetti dell'autenticazione email. Affrontano problemi complementari.

• SPF permette ai mittenti di definire quali indirizzi IP sono autorizzati a inviare posta per un particolare dominio.

• DKIM fornisce una chiave di crittografia e una firma digitale che verifica che un messaggio email non sia stato falsificato o alterato.

• DMARC unifica i meccanismi di autenticazione SPF e DKIM in un quadro comune e consente ai proprietari di domini di dichiarare come desiderano che le email di quel dominio vengano gestite se fallisce un test di autorizzazione.

Ho bisogno di DKIM?

Se sei un'azienda che invia email commerciali o transazionali, hai sicuramente bisogno di implementare una o più forme di autenticazione email per verificare che un'email provenga effettivamente da te o dalla tua azienda. Configurare correttamente gli standard di autenticazione email è uno dei passi più importanti che puoi fare per migliorare la tua recapitabilità. Tuttavia, da solo può solo arrivare fino a un certo punto; SparkPost e altri esperti di email consigliano anche di implementare SPF e DMARC per definire una politica di autenticazione email più completa.