La firma digitale che garantisce che le tue email siano autentiche e non siano state modificate durante il viaggio.
Pensa a DKIM come a un sigillo di ceralacca sulle lettere di una volta. Quando invii un'email, il tuo server aggiunge una “firma” invisibile al messaggio. Chi la riceve puo verificare che quella firma sia autentica e che nessuno abbia manomesso il contenuto durante il trasporto.
DKIM (DomainKeys Identified Mail)e un sistema di autenticazione email che utilizza la crittografia a chiave pubblica. Il server mittente firma l'email con una chiave privata; il server ricevente usa la chiave pubblica (pubblicata nel DNS) per verificare che la firma sia valida.
A differenza di SPF, che controlla solo chi ha inviato l'email, DKIM verifica che il contenuto non sia stato alterato. Sono due controlli complementari.
Il processo DKIM e trasparente per chi invia e chi riceve. Tutto avviene dietro le quinte:
Il tuo server genera una coppia di chiavi crittografiche: una privata (tenuta segreta sul server) e una pubblica (pubblicata come record TXT nel DNS del tuo dominio).
Quando invii un'email, il server calcola un hash del messaggio (intestazioni + corpo) e lo firma con la chiave privata. La firma viene aggiunta come header "DKIM-Signature" nell'email.
Il server ricevente legge la firma DKIM, recupera la chiave pubblica dal DNS del tuo dominio e la usa per decifrare la firma. Poi calcola autonomamente l'hash del messaggio ricevuto.
Se l'hash calcolato corrisponde a quello decifrato dalla firma, il messaggio e' autentico e integro. Se non corrisponde, qualcuno lo ha modificato durante il trasporto.
DKIM-Signature: v=1; a=rsa-sha256; d=tuaazienda.it;
s=selector1; h=from:to:subject:date;
bh=abc123...=; b=xyz789...=L'header contiene il dominio (d=), il selettore per trovare la chiave pubblica (s=), gli header firmati (h=) e la firma stessa (b=).
DKIM prova che nessuno ha modificato l'email tra l'invio e la ricezione. Se un attaccante cambia anche un solo carattere, la verifica fallisce.
Gli attacchi "man-in-the-middle" che alterano link, allegati o testi nelle email vengono smascherati immediatamente dalla verifica DKIM.
Gmail, Microsoft 365 e altri provider danno priorita alle email con DKIM valido. Senza, rischi di finire in spam anche con messaggi legittimi.
A differenza di SPF, DKIM funziona anche quando un'email viene inoltrata, perche' la firma e' legata al contenuto, non al server di invio.
DKIM verifica l'integrita ma non dice al destinatario cosa fare se la verifica fallisce. Inoltre, non impedisce a qualcuno di firmare email con un proprio dominio contraffatto. Per questo DMARC e indispensabile: definisce la policy che lega insieme SPF e DKIM e dice ai server cosa fare in caso di errore.
MailSniper verifica la firma DKIM di ogni singola email in ingresso. Ma la verifica crittografica e solo l'inizio: il risultato DKIM viene combinato con i controlli SPF, DMARC e con l'analisi semantica AI per una decisione accurata su ogni messaggio.
Un'email con DKIM non valido non viene necessariamente bloccata -- potrebbe essere un semplice inoltro legittimo. MailSniper analizza il contesto completo (mittente, contenuto, allegati, reputazione IP) per evitare falsi positivi. Vuoi controllare se DKIM e configurato correttamente sul tuo dominio? Prova il nostro tool Verifica DNS.