DomainKeys Identified Mail, o DKIM, è uno standard tecnico che aiuta a proteggere i mittenti e i destinatari di email dallo spam, dal spoofing e dal phishing.  È una forma di autenticazione email che consente a un'organizzazione di dichiarare la responsabilità per un messaggio in un modo che può essere convalidato dal destinatario.

Specificamente, esso utilizza un approccio chiamato “criptografia a chiave pubblica” per verificare che un messaggio email sia stato inviato da un server di posta autorizzato, per rilevare falsificazioni e per prevenire la consegna di email dannose come lo spam. Esso supplementa SMTP, il protocollo di base utilizzato per inviare email, perché non include di per sé alcun meccanismo di autenticazione.

Come funziona?

Funziona aggiungendo una firma digitale alle intestazioni di un messaggio email. Quella firma può essere convalidata contro una chiave crittografica pubblica nei record DNS dell’organizzazione. In termini generali, il processo funziona in questo modo:

Un proprietario di dominio pubblica una chiave pubblica crittografica come un record TXT appositamente formattato nei record DNS complessivi del dominio.

Quando un messaggio di posta viene inviato da un server di posta in uscita, il server genera e allega un'intestazione di firma DKIM unica al messaggio. Questa intestazione include due hash crittografici, uno di intestazioni specificate e uno del corpo del messaggio (o parte di esso). L'intestazione contiene informazioni su come è stata generata la firma.

Quando un server di posta in arrivo riceve un'email in arrivo, cerca la chiave pubblica DKIM del mittente nel DNS. Il server in arrivo utilizza questa chiave per decrittografare la firma e confrontarla con una versione appena calcolata. Se i due valori corrispondono, il messaggio può essere dimostrato come autentico e non alterato durante il transito.

Cos'è una firma DKIM?

Una firma DKIM è un'intestazione aggiunta ai messaggi email. L'intestazione contiene valori che consentono a un server di posta ricevente di convalidare il messaggio email cercando la chiave DKIM di un mittente e utilizzandola per verificare la firma crittografata. Essa somiglia a qualcosa del genere:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un'intestazione di firma DKIM include molte informazioni, poiché è destinata a un'elaborazione automatica. Come puoi vedere in questo esempio, l'intestazione contiene un elenco di parti tag=valore. I tag notabili includono “d=” per il dominio di firma, “b=” per la vera firma digitale, e “bh=” per un hash che può essere verificato ricalcolando utilizzando la chiave pubblica del mittente.

Le firme sono per definizione uniche da messaggio a messaggio, ma questi elementi di base saranno presenti in ogni intestazione di firma DKIM.

Come è relato a SPF, DMARC o ad altri standard?

DKIM, SPF e DMARC sono tutti standard che abilitano diversi aspetti dell'autenticazione email. Essi affrontano questioni complementari.

• SPF consente ai mittenti di definire quali indirizzi IP sono autorizzati a inviare posta per un particolare dominio.

• DKIM fornisce una chiave di crittografia e una firma digitale che verifica che un messaggio email non sia stato falsificato o alterato.

• DMARC unifica i meccanismi di autenticazione SPF e DKIM in un quadro comune e consente ai proprietari di dominio di dichiarare come vorrebbero che le email provenienti da quel dominio fossero gestite se falliscono un test di autorizzazione.

Ho bisogno di DKIM?

Se sei un'azienda che invia email commerciali o transazionali, hai sicuramente bisogno di implementare una o più forme di autenticazione email per verificare che un'email provenga effettivamente da te o dalla tua azienda. Configurare correttamente gli standard di autenticazione email è uno dei passaggi più importanti che puoi intraprendere per migliorare la tua deliverability. Tuttavia, di per sé, va solo fino a un certo punto; SparkPost e altri esperti di email raccomandano anche di implementare SPF e DMARC per definire una politica di autenticazione email più completa.