DomainKeys Identified Mail, o DKIM, è uno standard tecnico che aiuta a proteggere i mittenti e i destinatari delle email da spam, spoofing e phishing. È una forma di autenticazione email che consente a un'organizzazione di rivendicare la responsabilità di un messaggio in modo che possa essere convalidato dal destinatario.

In particolare, utilizza un approccio chiamato “crittografia a chiave pubblica” per verificare che un messaggio email sia stato inviato da un server di posta autorizzato, al fine di rilevare falsificazioni e prevenire la consegna di email dannose come lo spam. Integra SMTP, il protocollo di base utilizzato per inviare email, poiché non include da solo alcun meccanismo di autenticazione.

Come funziona?

Funziona aggiungendo una firma digitale agli header di un messaggio email. Quella firma può essere convalidata contro una chiave crittografica pubblica nei record del Domain Name System (DNS) dell'organizzazione. In termini generali, il processo funziona così:

Un proprietario di dominio pubblica una chiave pubblica crittografica come un record TXT appositamente formattato nei record DNS complessivi del dominio.

Quando un messaggio di posta elettronica viene inviato da un server di posta in uscita, il server genera e allega un header DKIM di firma unico al messaggio. Questo header include due hash crittografici, uno di header specificati e uno del corpo del messaggio (o parte di esso). L'header contiene informazioni su come è stata generata la firma.

Quando un server di posta in entrata riceve un'email, ricerca la chiave DKIM pubblica del mittente nel DNS. Il server in entrata utilizza questa chiave per decrittare la firma e confrontarla con una versione appena calcolata. Se i due valori coincidono, si può dimostrare che il messaggio è autentico e non alterato durante il transito.

Cos'è una firma DKIM?

Una firma DKIM è un header aggiunto ai messaggi email. L'header contiene valori che consentono a un server di posta ricevente di convalidare il messaggio email cercando la chiave DKIM del mittente e utilizzandola per verificare la firma criptata. Assomiglia a qualcosa del genere:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un header di firma DKIM racchiude molte informazioni, poiché è destinato all'elaborazione automatizzata. Come puoi vedere in questo esempio, l'header contiene un elenco di parti tag=valore. I tag notevoli includono “d=” per il dominio di firma, “b=” per la firma digitale effettiva e “bh=” per un hash che può essere verificato ricalcolando utilizzando la chiave pubblica del mittente.

Le firme sono per definizione uniche per ciascun messaggio, ma questi elementi di base saranno presenti in ogni header di firma DKIM.

Come è correlato a SPF, DMARC o altri standard?

DKIM, SPF e DMARC sono tutti standard che abilitano diversi aspetti dell'autenticazione email. Affrontano problemi complementari.

• SPF permette ai mittenti di definire quali indirizzi IP sono autorizzati a inviare email per un determinato dominio.

• DKIM fornisce una chiave di crittografia e una firma digitale che verifica che un messaggio email non sia stato falsificato o alterato.

• DMARC unifica i meccanismi di autenticazione SPF e DKIM in un quadro comune e consente ai proprietari di domini di dichiarare come vorrebbero che le email da quel dominio fossero gestite se non superassero un test di autorizzazione.

Ho bisogno di DKIM?

Se sei un'azienda che invia email commerciali o transazionali, devi assolutamente implementare una o più forme di autenticazione email per verificare che un'email provenga effettivamente da te o dalla tua azienda. Configurare correttamente gli standard di autenticazione email è uno dei passaggi più importanti che puoi intraprendere per migliorare la tua consegna. Tuttavia, da solo può fare solo fino a un certo punto; SparkPost e altri esperti di email consigliano anche di implementare SPF e DMARC per definire una politica di autenticazione email più completa.