DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) è uno standard di autenticazione email che consente al server di posta in uscita di allegare una firma digitale crittografica ai messaggi. Il server ricevente recupera la chiave pubblica corrispondente dai record DNS del mittente e la utilizza per verificare la firma. Se la firma è valida, il destinatario sa che l'email proviene genuinamente dal dominio dichiarato e non è stata alterata durante il transito. DKIM lavora insieme a [SPF](/glossary/spf) (Sender Policy Framework) e [DMARC](/glossary/dmarc) (Domain-based Message Authentication, Reporting & Conformance) per formare un framework completo di autenticazione email che protegge sia mittenti che destinatari.

L'email rimane un canale primario per condividere pubblicazioni digitali, inviare notifiche di [lead capture](/glossary/lead-capture) e consegnare messaggi transazionali. Senza DKIM, le email hanno maggiori probabilità di essere contrassegnate come spam o rifiutate completamente dai server di posta dei destinatari. I principali provider come Gmail, Outlook e Yahoo ora richiedono DKIM per i mittenti di massa, e i messaggi senza firme valide affrontano un filtraggio sempre più aggressivo. Una corretta configurazione DKIM migliora la consegnabilità, protegge il vostro marchio dallo spoofing (dove gli attaccanti inviano email fingendo di essere il vostro dominio) e costruisce fiducia con i provider email. Per gli editori che si affidano all'email per distribuire [flipbook](/glossary/flipbook) e raccogliere lead, DKIM influisce direttamente sul fatto che il vostro pubblico veda effettivamente i vostri messaggi.

FlipLink invia email per conto vostro per notifiche di lead capture, link di pubblicazioni condivise e [template email](/features/email-templates). Queste email vengono inviate tramite un'infrastruttura con DKIM configurato, il che significa che ogni messaggio in uscita porta una firma crittografica valida. Se utilizzate un [dominio personalizzato](/features/custom-domains) per le vostre pubblicazioni e volete inviare email di condivisione da quel dominio, configurate i record DNS DKIM per autorizzare i server di posta di FlipLink a inviare per conto vostro. Questo assicura che i destinatari vedano il vostro dominio come mittente verificato, massimizzando il posizionamento nella posta in arrivo e mantenendo la credibilità del vostro marchio.

La configurazione di DKIM prevede sia la configurazione DNS che il coordinamento con il server di posta. Ecco come si presenta tipicamente il processo: 1. **Generare una coppia di chiavi.** Il vostro servizio di posta o piattaforma (come FlipLink) genera una chiave privata (conservata sul server di invio) e una chiave pubblica (pubblicata nel DNS). 2. **Aggiungere il record DNS TXT.** Create un record TXT su `selector._domainkey.vostrodominio.com` contenente la chiave pubblica. Il selettore è un'etichetta (come `fl1` o `mail`) che identifica quale chiave utilizzare. 3. **Verificare la propagazione del record.** Le modifiche DNS possono richiedere fino a 48 ore, anche se la maggior parte si propaga entro un'ora. Utilizzate uno strumento di verifica DKIM per confermare che il record sia visibile. 4. **Inviare un'email di test.** Inviate un'email dal dominio configurato e controllate le intestazioni per `dkim=pass` nell'intestazione Authentication-Results. 5. **Monitorare continuamente.** Configurate il reporting [DMARC](/glossary/dmarc) per ricevere avvisi se la validazione DKIM inizia a fallire, il che potrebbe indicare una configurazione DNS errata o mittenti non autorizzati.

DKIM protegge contro due minacce specifiche: **spoofing email** (qualcuno che invia email che sembrano provenire dal vostro dominio) e **manomissione dei messaggi** (qualcuno che modifica il contenuto dell'email dopo che lascia il server). Tuttavia, DKIM da solo non è una soluzione di sicurezza completa. **Cosa protegge DKIM:** - Verifica che l'email sia stata inviata da un server autorizzato per quel dominio - Conferma che le intestazioni e il corpo firmati non sono stati alterati durante il transito - Fornisce una base per l'applicazione delle policy [DMARC](/glossary/dmarc) **Cosa non protegge DKIM:** - Non crittografa il contenuto dell'email (usate TLS per questo) - Non verifica l'identità del singolo mittente, solo il dominio - Non impedisce al vostro dominio di ricevere spam — aiuta solo la vostra posta in uscita ad essere considerata affidabile **La rotazione delle chiavi** è una pratica importante ma spesso trascurata. Se la vostra chiave privata DKIM viene compromessa, un attaccante può firmare email come il vostro dominio. Ruotate le chiavi DKIM periodicamente (ogni 6-12 mesi) e aggiornate il record DNS con la nuova chiave pubblica prima di ritirare quella vecchia.

Una firma DKIM viene aggiunta come intestazione `DKIM-Signature` ad ogni email in uscita. Questa intestazione contiene diversi campi: - **v** — Versione (sempre `1`) - **a** — Algoritmo di firma (tipicamente `rsa-sha256`) - **d** — Il dominio firmatario - **s** — Il selettore usato per cercare la chiave pubblica nel DNS - **h** — Lista delle intestazioni incluse nella firma (es. `from:to:subject:date`) - **bh** — Hash del corpo dell'email - **b** — La firma crittografica effettiva Il server ricevente estrae i valori `d` e `s`, interroga il DNS per `s._domainkey.d`, recupera la chiave pubblica e verifica la firma rispetto alle intestazioni firmate e all'hash del corpo. Se tutto corrisponde, il controllo DKIM passa. DKIM supporta chiavi di lunghezza 1024 bit e 2048 bit. Mentre le chiavi a 1024 bit sono ancora comuni, le chiavi a 2048 bit sono raccomandate per una sicurezza più forte. Alcuni provider DNS hanno un limite di 255 caratteri per i record TXT, il che richiede di dividere le chiavi più lunghe a 2048 bit in più stringhe all'interno di un singolo record TXT.