Parte 6 della serie "Sicurezza web UE: 10 passi verso un rating migliore"
Il problema
SPF verifica se il server di posta è autorizzato. Ma SPF non verifica se il contenuto dell'e-mail è stato alterato durante il trasporto. Un server di relay compromesso può modificare il testo, scambiare i link, manipolare gli allegati — e SPF continua a dire "pass".
DKIM risolve questo: il vostro server di posta firma ogni e-mail in uscita con una chiave privata. Il destinatario verifica la firma usando la chiave pubblica pubblicata nel vostro DNS. Se l'e-mail è stata alterata, la firma non corrisponde — il destinatario lo sa: manomissione.
Adozione di DKIM nell'UE: 31,1%. Due domini su tre non firmano le proprie e-mail.
Perché DKIM è fondamentale per DMARC
DMARC verifica: SPF O DKIM passano — e il dominio è allineato? In pratica, SPF fallisce frequentemente per le e-mail inoltrate (l'inoltro rompe SPF). DKIM sopravvive all'inoltro perché la firma è legata all'header del messaggio, non al server di invio.
Senza DKIM, la vostra policy DMARC fallisce su ogni e-mail inoltrata. Mailing list, regole di inoltro di Outlook, auto-forwarding — tutti generano fallimenti SPF. Solo DKIM salva la deliverability.
Come configurare DKIM
Google Workspace
- Console di amministrazione > App > Google Workspace > Gmail > Autentica e-mail
- "Genera nuova chiave DKIM" > Lunghezza chiave 2048 bit
- Aggiungete il record TXT visualizzato al vostro DNS (sotto
google._domainkey.vostro-dominio.com) - Tornate alla Console di amministrazione: "Avvia autenticazione"
Microsoft 365
- Microsoft 365 Defender > Criteri > Autenticazione e-mail > DKIM
- Selezionate il dominio > "Crea chiave DKIM"
- Aggiungete due record CNAME al vostro DNS (Microsoft li visualizza)
- Abilitate DKIM
Brevo / Mailchimp / Strumenti newsletter
La maggior parte degli strumenti newsletter richiede la configurazione DKIM durante la verifica del dominio:
- Nello strumento: Aggiungi dominio > viene visualizzato il record DKIM
- Aggiungete il record TXT al vostro DNS
- Nello strumento: Verifica dominio
Configurazione manuale (Postfix / Server di posta self-hosted)
# Installare OpenDKIM
apt install opendkim opendkim-tools
# Generare la coppia di chiavi
opendkim-genkey -t -s mail -d vostro-dominio.com
# Aggiungere la chiave pubblica al DNS
cat mail.txt # -> record TXT sotto mail._domainkey.vostro-dominio.com
Lunghezza della chiave
- 1024 bit: minimo, ancora accettato, ma crittograficamente marginale
- 2048 bit: standard, raccomandato
- 4096 bit: massima sicurezza, ma alcuni provider DNS hanno problemi con record TXT lunghi (>255 caratteri richiedono lo splitting)
Dal benchmark: solo il 31% ha DKIM — e di questi, circa il 60% usa ancora chiavi da 1024 bit. Raccomandiamo il passaggio a 2048 bit.
Errori comuni
1. Dimenticare DKIM per i mittenti di terze parti. Ogni servizio che invia e-mail per conto vostro ha bisogno del proprio selettore DKIM: Google Workspace, strumento newsletter, sistema di ticketing, CRM. Ognuno ha il proprio record selettore._domainkey.
2. Non ruotare mai le chiavi. Le chiavi DKIM dovrebbero essere ruotate ogni 6-12 mesi. La maggior parte dei provider lo fa automaticamente — ma verificatelo.
3. DKIM senza DMARC. DKIM da solo verifica solo la firma. Senza DMARC, non dice al destinatario cosa fare con le e-mail non firmate.
Verifica la sicurezza della tua e-mail
SiteGuardian controlla SPF, DKIM (inclusa lunghezza della chiave e rilevamento del selettore), DMARC e STARTTLS:
La prossima settimana nella Parte 7: X-Content-Type-Options e Referrer-Policy — due header, cinque minuti, protezione misurabilmente migliore.