Il protocollo DKIM prevede che il server SMTP del mittente aggiunga una firma (Signature) con chiave privata negli header dei messaggi di posta. Questa firma può confermare che l’email è stata realmente inviata dal mittente dichiarato e che il contenuto non è stato manomesso durante il trasporto. Se il server destinatario prevede la verifica della firma, verrà eseguita un'interrogazione della zona DNS del dominio mittente per ottenere la chiave pubblica configurata, con la quale verificare il messaggio che è stato cifrato con la chiave privata.
Il comportamento in caso di fallimento dei controlli viene stabilito dalla configurazione DMARC, che è in effetti il protocollo che consente di stabilire efficacemente un'autorevolezza al dominio come mittente di posta, sfruttando le potenzialità di DKIM e SPF.
I moderni standard di sicurezza preferiscono le email che presentino firme DKIM allineate al mittente della posta, a questo scopo il server di posta di Aruba è predisposto per apporre una firma allineata al dominio tramite un selector e una chiave privata standard.
Per i domini di nuova creazione viene generata una firma allineata, per i domini acquistati prima di febbraio 2024 è preferibile personalizzare la firma standard utilizzando una chiave pubblica corrispondente al proprio dominio
creando un record TXT con queste caratteristiche:
Host:
a1._domainkey.nomedominio.estensione
Valore:
v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoOhAWzBuKQYXU6E3E9efq+DPvtkkvWPg3EtB+BT2cTrMGh6Xy00mXfPi/EzubRpbhHpv3b3k1d65Vyhmpp5O3HzTQyzIqYMMF5iF5y05D5aEux3pj/i1g5LkAOFE0Xdf+wnI8zppP2jP7IV4bwKPr1OnBqOjs8hfBWSEGaCSFD/aVbOdNldHiwSalzDL38E+IcT0KQB+BdutC2T9B5idcSPaBY57sC4hq31wpBlgNcYpIMDxOQN+E9E+TbgnlJYCOYsD5S0amYFivcJObjSGpdstMBfaM1ox5iEQVpEhLz5cwgohjrMst2us7G9eHZ6p2jR7X+/yTP8ryAAywzMJ5wIDAQAB
Esempio di una firma inserita in un messaggio:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=aruba.it; s=a1; t=1444923259; bh=rRZMVE47A+vrSQzXlsDX01BmgT7ULkXW1ZyxnmqKxFo=; h=Date:Subject:MIME-Version:Content-Type:From:To; b=SUUSlXHl72x2YO5Q5fjWujUIYVWT6KK0I+83SIMwth4Kn56s9VRfy8/v4wXOStyUE QikXrdnt6y6dWHMsL6Toz8kQtIFJXo/RFIIptL0LPlUvOu0xxRKOm8GN0AQZHokSZO cGkfx72JtPewraaX3vbdJlcXC5a+GrDz0QjvNF8QSRTGMIO1kqQlFU9zA2JSiR0Hwr oKLIf/dfSwEJn2DSNvO6uCx1/JkzlBoXXeGHBlYJhLQ/GdBZQRIWftTn2ovRCjk7Sc /f+stIQATfT60rabAtkO7WCudkxJ8GlAATjqbnv7VQ6wE8aK36k2mxMU/I5elGnETA xm5gNdZQ/EWDA==
Il server destinatario richiede al server DNS del dominio indicato nel campo “d” la chiave pubblica per verificare la correttezza della chiave privata con la quale è firmato il messaggio.
Nella Signature è indicato: d=aruba.it
Legenda:
v: identifica la versione.
a: è il tipo di algoritmo utilizzato per firmare il messaggio.
c: definisce lo schema degli algoritmi di normalizzazione (canonicalization scheme) utilizzati per elaborare le intestazioni della firma e del corpo del messaggio, sono utili a garantire l’integrità dei dati firmati.
d: indica il nome del dominio che rilascia la firma.
h: specifica le intestazioni dell’header che sono state firmate, permettendo quindi di omettere dal controllo quelle non rilevanti.
b: è la firma rilasciata dal server mittente.
Se non si sta utilizzando il servizio di posta Aruba, ma si sia scelto di puntare a un servizio esterno, è possibile indicare la chiave fornita dal provider esterno attraverso il pannello di Gestione DNS, per maggiori informazioni consultare la
guida dedicata all'aggiunta di un record TXT.