Defaults.Exposed › Configurazione › DKIM

Come configurare il DKIM su AWS Route 53

Pubblica la chiave DKIM del tuo provider di posta nella tua hosted zone di Route 53, così le tue email viaggiano con una firma a prova di manomissione.

Perché è importante per la tua attività

Il DKIM (DomainKeys Identified Mail) aggiunge una firma digitale invisibile a ogni email che invii. Il provider di posta del destinatario usa una chiave pubblica che hai pubblicato nel tuo DNS per confermare due cose: che il messaggio proviene davvero dal tuo dominio e che nessuno lo ha modificato lungo il percorso.

In parole semplici: il DKIM è un sigillo di autenticità sulle tue email. Rende più difficile spacciarsi per te e aumenta le probabilità che la posta legittima arrivi in casella invece che nello spam. Come le altre impostazioni, è gratuito e si configura una volta sola.

Importante: il DKIM ha due metà

Il DKIM è l’unico record in cui conta davvero chi fa cosa:

• La chiave la genera il tuo provider di posta. Google Workspace, Microsoft 365, Amazon SES o chiunque gestisca i tuoi invii genera per te la chiave DKIM, dentro la loro console di amministrazione. Non puoi inventartela: devi ottenere il nome host e il valore esatti da loro. Route 53 non genera chiavi DKIM; è il tuo servizio DNS, non il provider delle tue caselle.
• Route 53 la pubblica. A quel punto aggiungi quella chiave nel DNS del tuo dominio in Route 53 (a patto che sia Route 53 a gestire il tuo DNS, vedi sotto).

Quindi: genera nella piattaforma di posta, pubblica nel servizio DNS.

Prima cosa: verifica che sia Route 53 a gestire il tuo DNS

Un record DKIM funziona solo se è Route 53 a rispondere alle richieste DNS per il tuo dominio. Nella console di Route 53, apri Hosted zones, seleziona il tuo dominio e annota i quattro valori NS (nameserver). Devono corrispondere ai nameserver impostati presso il tuo registrar. Se hai registrato il dominio tramite Route 53 di solito corrispondono già; se è registrato altrove — o se hai più di una hosted zone per il dominio — controlla con attenzione. Se i nameserver attivi puntano a un altro provider, aggiungi lì il record DKIM: su Route 53 non avrebbe alcun effetto.

Ottieni la chiave dal tuo provider di posta

Nell’area di amministrazione del tuo provider di posta, cerca l’impostazione DKIM o di autenticazione email e genera/attiva una chiave. Quello che ricevi dipende dal provider e cambia il modo in cui lo inserisci in Route 53:

• Google Workspace ti fornisce un record TXT: un nome di selettore come google._domainkey e un lungo valore che inizia con v=DKIM1; k=rsa; p= seguito da una stringa molto lunga.
• Microsoft 365 ti fornisce due record CNAME, con selettori come selector1._domainkey e selector2._domainkey, ciascuno che punta a un host Microsoft.
• Amazon SES ti fornisce tre record CNAME (la sua funzione «Easy DKIM»). Se il tuo dominio è in Route 53, SES può spesso proporre di aggiungerli per te automaticamente, ma puoi anche aggiungerli a mano.

Copia i nomi host e i valori con precisione.

Passo per passo su Route 53

1. Accedi alla console AWS e apri Route 53.
2. Nel menu a sinistra, scegli Hosted zones, poi clicca sul nome del tuo dominio.
3. Clicca su Create record.
4. Se compare una procedura guidata con opzioni di routing, passa al modulo semplice (cerca Quick create record).
5. In Record name, inserisci solo la parte del selettore — per esempio google._domainkey o selector1._domainkey. Non aggiungere il nome del dominio alla fine: Route 53 accoda la zona per te automaticamente (la mostra accanto al campo).
6. Imposta Record type su TXT o CNAME per corrispondere esattamente a quanto fornito dal provider (Google = TXT; Microsoft 365 e Amazon SES = CNAME).
7. In Value:
   • Per una chiave TXT, incolla il lungo valore racchiuso tra virgolette doppie: "v=DKIM1; k=rsa; p=...".
   • Per un CNAME, incolla l’host di destinazione fornito dal provider, senza virgolette (es. selector1-tuodominio._domainkey.tuodominio.onmicrosoft.com).
8. Lascia il TTL sul valore predefinito.
9. Clicca su Create records. Ripeti per ogni record (Microsoft 365 ne richiede due; Amazon SES ne richiede tre).

Trappole tipiche su Route 53

• Le chiavi TXT vogliono le virgolette doppie; i CNAME no. È un inciampo costante. Un valore DKIM TXT va inserito come "v=DKIM1; ... p=..." con le virgolette. Un valore CNAME è solo l’host di destinazione nudo e crudo, senza virgolette. Confonderli rompe il record.
• Non mettere il dominio completo in Record name. Se le istruzioni del provider mostrano selector1._domainkey.tuodominio.com, in Route 53 inserisci solo selector1._domainkey: il resto viene aggiunto per te. Ripetere il dominio crea un host rotto selector1._domainkey.tuodominio.com.tuodominio.com.
• Incolla tutta la chiave: è lunga. Le chiavi pubbliche DKIM TXT contano centinaia di caratteri. Assicurati che nulla sia tagliato e che durante il copia-incolla non si siano infilati spazi o interruzioni di riga.
• Aggiungi ogni record richiesto dal provider. Microsoft 365 non valida con solo uno dei suoi due CNAME; Amazon SES ne richiede tutti e tre. Un insieme parziale lascia il DKIM in fallimento silenzioso.
• TXT o CNAME, segui il provider. Non convertire un CNAME in TXT o viceversa. Usa il tipo che indicano.
• Zona giusta, account giusto. Con più zone o account AWS è facile modificare quella sbagliata. Assicurati che i quattro valori NS della zona corrispondano ai tuoi nameserver attivi.
• Dai tempo al sistema. Le modifiche al DNS possono richiedere da pochi minuti a un paio d’ore per propagarsi prima che il DKIM inizi a validare.

Verifica che abbia funzionato

Dopo aver salvato e atteso un po’ per la propagazione, esegui il controllo gratuito su questo sito. Ti confermerà in parole semplici se il tuo record DKIM è pubblicato e leggibile.

Fatto? Verifica il tuo dominio gratis per confermare che ha funzionato — e vedere il tuo voto completo su tutti e 34 i controlli.