Defaults.Exposed › Configurazione › DKIM

Come configurare il DKIM su Google Workspace

Genera una chiave DKIM nella console di amministrazione Google e pubblicala nel tuo DNS, così le tue email viaggiano con una firma a prova di manomissione.

Perché è importante per la tua attività

Il DKIM (DomainKeys Identified Mail) aggiunge una firma digitale invisibile a ogni email che invii. Il provider di posta del destinatario usa una chiave pubblica che hai pubblicato nel tuo DNS per confermare due cose: che il messaggio proviene davvero dal tuo dominio e che nessuno lo ha modificato lungo il percorso.

In parole semplici: il DKIM è un sigillo di autenticità sulle tue email. Rende più difficile spacciarsi per te e aumenta le probabilità che la posta legittima arrivi in casella invece che nello spam. È gratuito e si configura una volta sola.

Importante: il DKIM ha due metà

Il DKIM è l’unico record in cui conta davvero chi fa cosa:

• Google genera la chiave, nella console di amministrazione Google. Accedi ad admin.google.com e fai creare a Google la chiave DKIM per il tuo dominio. Non puoi inventarti questo valore; lo produce Google per te.
• Il tuo servizio DNS la pubblica. A quel punto aggiungi quella chiave nel DNS del tuo dominio, presso l’azienda che gestisce i tuoi nameserver (il tuo registrar, il web host, Cloudflare, ecc.). Di solito non è Google.

Quindi: genera in Google Workspace, pubblica nel tuo servizio DNS. Servono entrambe le metà, e alla fine c’è un passaggio in più in cui torni in Google e attivi il DKIM.

Passo 1 — Genera la chiave nella console di amministrazione Google

1. Accedi alla console di amministrazione Google su admin.google.com con un account amministratore.
2. Vai su App → Google Workspace → Gmail, poi apri Autentica email (è la sezione DKIM).
3. Seleziona il tuo dominio dall’elenco.
4. Se richiesto, scegli la lunghezza della chiave (l’impostazione predefinita, di norma 2048 bit, va bene) e clicca su Genera nuovo record.
5. Google ora ti mostra due pezzi di testo:
   • Un nome host DNS / selettore, che per Google è di norma google._domainkey.
   • Un lungo valore del record TXT che inizia con v=DKIM1; k=rsa; p= seguito da una stringa di caratteri molto lunga (la chiave pubblica).
6. Lascia aperta questa pagina: copierai questi dati nel tuo DNS e poi tornerai qui per attivare il DKIM.

Passo 2 — Pubblica la chiave nel tuo servizio DNS

Prima di tutto, assicurati di lavorare nell’azienda che gestisce davvero il tuo DNS. Un record DKIM funziona solo se aggiunto dove puntano i nameserver del tuo dominio. In caso di dubbio, controlla la sezione Nameservers nel tuo account presso il registrar, oppure chiedi a chi gestisce il tuo sito.

1. Accedi al tuo servizio DNS e apri le impostazioni DNS del tuo dominio (cerca DNS / Records / Advanced DNS).
2. Aggiungi un nuovo record e scegli TXT.
3. Nel campo Name / Host, inserisci solo la parte del selettore — per Google di solito è google._domainkey. Non aggiungere il nome del dominio alla fine: il servizio DNS lo accoda in automatico.
4. Nel campo Value, incolla esattamente il lungo valore della chiave che ti ha fornito Google.
5. Lascia il TTL sul valore predefinito.
6. Salva.

Passo 3 — Attiva il DKIM, di nuovo in Google

Pubblicare il record non basta: devi dire a Google di iniziare a firmare.

1. Torna alla pagina Autentica email nella console di amministrazione Google.
2. Clicca su Avvia autenticazione.
3. Google verifica che il record sia visibile nel tuo DNS. Se non riesce ancora a trovarlo, concedi un po’ di tempo alla propagazione DNS (da pochi minuti a un paio d’ore) e riprova.

Trappole tipiche

• Due posti, in ordine. Genera in Google, pubblica nel DNS, poi torna e clicca Avvia autenticazione. Saltare l’ultimo passaggio significa che la chiave è pubblicata ma Google non firma mai la tua posta.
• Non mettere il dominio completo in Host. Se le istruzioni mostrano google._domainkey.tuodominio.com, nel tuo servizio DNS inserisci solo google._domainkey: il resto viene aggiunto per te. Ripetere il dominio crea un host rotto come google._domainkey.tuodominio.com.tuodominio.com.
• Incolla tutta la chiave: è lunga. Le chiavi pubbliche DKIM contano centinaia di caratteri. Alcuni servizi DNS hanno un limite di caratteri su un singolo campo e suddividono i valori TXT lunghi in più stringhe tra virgolette: è normale e Google lo gestisce, ma assicurati che nulla sia tagliato e che non si siano infilati spazi o interruzioni di riga.
• Attenzione alle virgolette. Incolla il valore così com’è: la maggior parte dei servizi DNS aggiunge le virgolette per te. Aggiungere a mano segni " sopra può corrompere il record.
• Riproduci il selettore con precisione. L’host nel tuo DNS deve corrispondere a quello atteso da Google (google._domainkey) carattere per carattere: è così che il destinatario trova la chiave giusta.
• Dai tempo al sistema. Le modifiche al DNS possono richiedere da pochi minuti a un paio d’ore prima che Google possa confermare e il DKIM inizi a validare.

Verifica che abbia funzionato

Dopo aver pubblicato il record, attivato l’autenticazione e atteso un po’ per la propagazione, esegui il controllo gratuito su Defaults.Exposed. Ti confermerà in parole semplici se il tuo record DKIM è pubblicato e leggibile. I tuoi dati vengono elaborati nell’UE.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.