Defaults.Exposed › Correzioni › DKIM

Come correggere DKIM

Il DKIM è il sigillo invisibile a prova di manomissione su ogni email che la tua azienda invia. Permette al provider di posta ricevente di confermare che l'email arriva davvero da te ed è giunta inalterata. Senza, la tua posta è più facile da falsificare, più facile da alterare, e ha molte più probabilità di finire nello spam.

In sintesi per la tua attività: Senza DKIM, le email che invii possono essere manomesse durante il tragitto, sono più facili da impersonare per i criminali, e hanno più probabilità di essere filtrate nello spam o rifiutate del tutto — facendoti perdere in silenzio affari, pagamenti e fiducia senza che tu sappia mai di averli persi.

Cosa può costarti

Una fattura che hai inviato via email viene intercettata e le coordinate bancarie vengono cambiate prima che raggiunga il tuo cliente. L'email sembra ancora arrivare da te, il cliente paga il criminale, e quando viene a galla sei tu a prenderti la colpa.
I tuoi preventivi, contratti e fatture autentici continuano a finire nello spam dei clienti. Pensi che il cliente si sia raffreddato o abbia scelto un altro — ma semplicemente non ha mai visto la tua email.
L'ufficio sicurezza o acquisti di un cliente più grande fa un controllo veloce sul tuo dominio prima di firmare, non vede alcun DKIM, e o rimanda la trattativa di settimane finché non sistemi, o sceglie in silenzio un concorrente che ha superato il controllo.
Un criminale invia convincenti email false «dalla tua azienda» ai tuoi stessi clienti. Poiché nulla dimostra quali email siano davvero tue, i falsi sono credibili quanto quelli veri — e a rimetterci è il tuo nome.
I grandi provider di caselle e le banche trattano sempre più la posta non firmata come sospetta. Col tempo sempre più delle tue email aziendali quotidiane vengono rallentate, cestinate o rifiutate, e la tua attività di contatto smette pian piano di funzionare.

Perché è importante. L'email non è mai stata costruita per dimostrare chi l'ha inviata, e falsificare il mittente è banalmente facile. Il DKIM aggiunge una firma crittografica che il provider ricevente controlla automaticamente — confermando che il messaggio arriva davvero dal tuo dominio e non è stato alterato lungo la strada. È una delle tre cose che ogni moderno provider di posta cerca, incide direttamente sul fatto che le tue email siano considerate affidabili o cestinate, e la correzione è gratuita.

Cos’è, in parole semplici

Ogni email che la tua azienda invia passa per parecchie mani prima di raggiungere la casella di posta. Di per sé, un’email non porta alcuna prova di chi l’abbia davvero inviata o se qualcuno l’abbia modificata lungo la strada — la riga «da» è solo testo che chiunque può digitare.

Il DKIM risolve questo problema. Mette un sigillo invisibile, a prova di manomissione, su ogni messaggio che la tua azienda invia. Quando l’email arriva, il provider di posta ricevente confronta il sigillo con una chiave che pubblichi sul tuo dominio. Se corrisponde, il provider sa due cose con certezza: l’email arriva davvero dal tuo dominio, e non è stato cambiato un solo carattere durante il tragitto. Se non corrisponde — perché il messaggio è stato falsificato o alterato — il sigillo fallisce, e il provider tratta la posta con sospetto.

Non gestisci niente di tutto questo a mano. Una volta attivato, la firma e il controllo avvengono automaticamente su ogni email, per sempre. Tutto il senso del DKIM è rendere la tua posta reale dimostrabilmente reale — così da renderla affidabile, e far risaltare i falsi.

Quanto può costarti

Non è astratto. Ecco com’è fatto un sigillo DKIM mancante o debole nella pratica, per una piccola o media impresa.

La fattura alterata. Invii una fattura a un cliente. Da qualche parte tra il tuo server e il suo, un attaccante la intercetta e sostituisce le tue coordinate bancarie con le proprie. L’email sembra ancora arrivare da te, il cliente paga — sul conto del criminale. Senza DKIM, non c’è nulla a segnalare che il messaggio sia stato manomesso. Con esso, quell’alterazione silenziosa rompe il sigillo e viene intercettata.
Gli affari morti nello spam. I tuoi preventivi, proposte e solleciti continuano a scivolare nelle cartelle indesiderate dei clienti. Non ricevi mai risposta e pensi che non fossero interessati. In realtà, la posta non firmata è un forte segnale di spam — le tue email aziendali autentiche semplicemente non sono state viste.
Il contratto perso. L’ufficio acquisti o sicurezza di un cliente più grande verifica il tuo dominio prima di firmare. Non vede alcun DKIM e lo tratta come una bandiera rossa — o ritardando la trattativa di settimane mentre sistemi, o scegliendo in silenzio un fornitore la cui sicurezza email era a posto.
Il tuo nome usato contro i tuoi stessi clienti. Un truffatore spara email convincenti «dalla tua azienda» alla tua base clienti. Poiché nulla dimostra quali messaggi siano davvero tuoi, i falsi sembrano legittimi quanto quelli veri — ed è la tua reputazione a incassare il colpo quando la gente si scotta.
Lo strangolamento lento della tua posta. Banche, grandi provider di caselle e filtri aziendali diffidano sempre più della posta non firmata. L’effetto si insinua nel tempo: più rallentamenti, più cestinature, più rimbalzi — finché la tua attività quotidiana di contatto smette in silenzio di arrivare.

Cos’è davvero

DKIM sta per DomainKeys Identified Mail. Ecco come funziona il sigillo, senza tecnicismi:

Pubblichi una chiave pubblica sul tuo dominio (nelle impostazioni DNS). Chiunque può leggerla — è proprio il punto.
Il tuo provider di posta detiene la corrispondente chiave privata e la usa per firmare ogni email che invii, aggiungendo un’intestazione nascosta.
Quando l’email arriva, il provider del destinatario recupera la tua chiave pubblica, confronta la firma con il messaggio, e conferma che sia autentico e inalterato.

Alcuni termini che potresti sentire dalla tua persona IT:

Selector — un’etichetta che punta a una specifica chiave, es. selector1._domainkey.tuodominio. Permette di usare e ruotare più chiavi in modo pulito. Lo configura il tuo provider.
Robustezza della chiave — le chiavi DKIM hanno diverse dimensioni. Il riferimento moderno è RSA a 2048 bit; le chiavi RSA a 4096 bit o Ed25519 sono ancora più forti. Le vecchie chiavi a 1024 bit funzionano ancora ma sono considerate deboli dagli standard odierni (NIST SP 800-131A / RFC 8301).

Com’è fatto un «buono»: una chiave DKIM valida è pubblicata su un selector per il tuo dominio, la tua posta in uscita viene firmata con essa, e la chiave è a 2048 bit o più forte. Questo è il superamento pieno.

Una nota su come viene valutato. Questo controllo cerca una chiave DKIM autentica e ben formata, pubblicata sui selector che i provider di posta usano comunemente. Una chiave valida pubblicata è il segnale positivo — uno scanner di terze parti non può riprodurre le tue firme in tempo reale, quindi ciò che si misura è la presenza di una chiave corretta. Nessuna chiave trovata fa fallire il controllo (è una falla ad alta severità). Una chiave valida ma debole (RSA a 1024 bit) vale all’incirca metà punteggio — funziona ma andrebbe aggiornata. Una chiave forte (RSA a 2048 bit o superiore, o Ed25519) vale il punteggio pieno. È uno dei controlli di sicurezza email che contano per la tua valutazione, e vale una quota significativa di essa.

Come sistemarlo (gratis, ~15 minuti)

Questa parte è per chi gestisce la tua posta o il tuo dominio — se non sei tu, passagli questa sezione. La correzione è gratuita. Facciamo pagare solo il monitoraggio nel tempo, perché le tue protezioni restino in salute, non la configurazione.

La forma generale è la stessa ovunque: attiva il DKIM nel tuo provider di posta, prendi la chiave che genera, pubblicala nel tuo DNS, poi conferma che sia attiva. I passi esatti dipendono da chi gestisce la tua posta — ecco i più comuni.

Google Workspace (Gmail)

Console di amministrazione → App → Google Workspace → Gmail → Autentica email.
Seleziona il tuo dominio e clicca su Genera nuovo record (scegli la lunghezza chiave 2048 bit).
Google ti fornisce un record DNS. Aggiungilo presso il tuo host DNS come record TXT, host google._domainkey.tuodominio, con il valore fornito da Google.
Attendi che si propaghi (da minuti a qualche ora), poi torna alla stessa schermata e clicca su Avvia autenticazione.

Microsoft 365 (Outlook / Exchange Online)

Vai al portale Microsoft Defender → Email e collaborazione → Criteri e regole → Criteri di minaccia → Impostazioni di autenticazione email → DKIM.
Seleziona il tuo dominio. Microsoft ti mostra due record CNAME da pubblicare (selector1 e selector2).
Aggiungi entrambi i record CNAME presso il tuo host DNS esattamente come mostrato.
Tornato nella schermata DKIM, attiva la firma DKIM su Abilitato per il dominio.

Zoho Mail

Pannello di controllo → Autenticazione email → DKIM.
Genera una chiave (usa un selector come zoho), poi aggiungi il record TXT fornito su zoho._domainkey.tuodominio nel tuo DNS.
Verifica nel pannello Zoho una volta che il record è attivo.

Altri provider / il tuo server di posta Lo schema è identico: il provider (o il tuo software di posta) genera una coppia di chiavi, firma la tua posta in uscita con la chiave privata, e ti fornisce un record pubblico da pubblicare. Tipicamente si presenta così:

Host:  selector1._domainkey.tuodominio
Tipo:  TXT (o CNAME, a seconda del provider)
Valore: (la lunga stringa della chiave fornita dal tuo provider)

Dove si aggiungono i record DNS: nelle impostazioni DNS del tuo dominio — di solito presso il tuo registrar o host DNS (es. Cloudflare, GoDaddy, il pannello di controllo del tuo hosting). Se il tuo provider di posta fornisce un CNAME, punta a un record ospitato da loro, quindi non vedi mai la chiave grezza — è normale e va bene.

Conferma che funzioni: invia a te stesso un’email di prova a un account Gmail, aprila, scegli Mostra originale, e controlla che appaia DKIM: PASS. Poi ricontrolla qui il tuo dominio per confermare che la chiave sia arrivata come 2048 bit o più forte, non una debole a 1024 bit.

Errori comuni

Dare per scontato che un grande provider lo abbia attivo di default. Parecchi domini su Google o Microsoft hanno comunque bisogno che il DKIM venga attivato e un record pubblicato. «Usiamo Microsoft 365» non è la stessa cosa di «il DKIM è abilitato».
Generare una chiave debole a 1024 bit. Alcuni provider impostano ancora di default o offrono 1024 bit. Scegli 2048 bit quando ti viene data la possibilità — una chiave debole vale solo metà punteggio ed è segnalata dai riceventi più rigorosi.
Pubblicare il record ma non abilitare mai la firma. Aggiungere il record DNS è solo metà del lavoro. Se non attivi la firma nel provider (l’interruttore finale), la tua posta esce ancora non firmata.
Sbagliare a digitare o troncare la chiave. Le chiavi DKIM sono lunghe. Un copia-incolla che perde un carattere o spezza il valore in modo errato produce un sigillo rotto che fallisce su ogni email. Incolla il valore esattamente come fornito.
Dimenticare gli altri mittenti. Se invii posta tramite uno strumento di newsletter, un CRM, un’app di fatturazione o una piattaforma e-commerce, ciascuno può aver bisogno della propria chiave e del proprio selector DKIM. Firma la posta da tutti i servizi che inviano per tuo conto, non solo dalla tua casella.

Una nota su DKIM, SPF e DMARC

Il DKIM raramente funziona da solo. È una di tre impostazioni che insieme rendono affidabile la tua posta:

L’SPF dice quali server sono autorizzati a inviare posta per il tuo dominio.
Il DKIM (questa pagina) è il sigillo a prova di manomissione che dimostra che un messaggio è davvero tuo e inalterato.
Il DMARC è l’istruzione che dice ai provider cosa fare con tutto ciò che fallisce — e si basa su DKIM e SPF per prendere quella decisione.

Se stai sistemando il DKIM, vale la pena controllare SPF e DMARC nello stesso momento. Insieme sono ciò che impedisce alla tua azienda di essere impersonata e ciò che fa arrivare la tua posta reale dove dovrebbe. Tutte e tre le correzioni sono gratuite.

Configuralo sul tuo host

Passo per passo per i provider più diffusi:

FAQ

Non sono una persona tecnica — è una cosa che posso sistemare da solo?

Non devi capire la crittografia. Nella maggior parte dei casi è un'impostazione che attivi all'interno del tuo provider di posta (Google Workspace, Microsoft 365, Zoho, ecc.), che poi ti fornisce uno o due record da aggiungere al tuo dominio. Passa la sezione «Come sistemarlo» a chi gestisce la tua posta o il tuo dominio — è un lavoro rapido e gratuito, di solito una quindicina di minuti.

Attivare il DKIM rischia di rompere la mia posta?

Aggiungere il DKIM correttamente è sicuro — non cambia come la tua posta viene inviata, aggiunge solo una firma che i destinatari possono verificare. L'unica cosa da fare bene è pubblicare la chiave generata dal tuo provider esattamente come fornita, e abilitare la firma solo dopo che il record è attivo nel DNS. Fatto in quest'ordine, non c'è alcun disservizio per te o i tuoi clienti.

Usiamo già un grande provider come Google o Microsoft — non siamo coperti automaticamente?

Non sempre. I grandi provider rendono facile il DKIM, ma per molti domini va comunque attivato e va aggiunto un record al tuo DNS — non è sempre attivo per impostazione predefinita. È proprio per questo che un dominio su un grande provider può comunque fallire questo controllo. Bastano pochi minuti per verificarlo e attivarlo.

Qual è la differenza tra DKIM, SPF e DMARC? Mi servono tutti e tre?

Pensali come un insieme. L'SPF elenca quali server sono autorizzati a inviare posta per te. Il DKIM è il sigillo a prova di manomissione che dimostra che un messaggio è davvero tuo e inalterato. Il DMARC è l'istruzione che dice ai provider di bloccare tutto ciò che fallisce quei controlli. Funzionano al meglio insieme — il DMARC in particolare si appoggia al DKIM per fare il suo lavoro — quindi sì, li vuoi tutti e tre.

La mia persona IT dice che il DKIM è «attivo» — come faccio a sapere che funziona davvero ed è abbastanza forte?

Contano due cose: che una firma valida venga pubblicata su un selector per il tuo dominio, e che la chiave dietro di essa sia forte (RSA a 2048 bit o superiore). Una vecchia chiave a 1024 bit funziona ancora ma è considerata debole dagli standard moderni e qui viene trattata come superamento parziale. Rieseguire un controllo sul tuo dominio conferma entrambe le cose in una volta.

Cos'è un «selector» e perché conta?

Un selector è semplicemente un'etichetta che punta a una specifica chiave DKIM nel tuo DNS — ti permette di usare più chiavi contemporaneamente (per esempio una per la casella e una per lo strumento di newsletter) e di ruotarle in sicurezza. Non lo gestisci a mano; il tuo provider crea il selector e ti dice il record da pubblicare. Qui conta solo perché il controllo cerca una chiave valida sui selector che i provider di posta usano comunemente.