DomainKeys Identified Mail

metodo di autenticazione delle email

DomainKeys Identified Mail (DKIM) è un metodo di autenticazione delle email, realizzato per prevenire lo spoofing. Consente, a chi riceve un’email, di verificare la provenienza del messaggio, in modo da accertarsi dell’autenticità del mittente. Il DKIM è utilizzato per contrastare il phishing e lo spam delle email.

In termini tecnici, il DKIM consente a un dominio di associare il proprio nome a un'email mediante l'apposizione di una firma digitale. La verifica viene eseguita utilizzando la chiave pubblica del firmatario pubblicata nel DNS del dominio. La firma garantisce che il messaggio dell'email (inclusi gli allegati) non sia stato modificato dal momento in cui è stata apposta la firma.[1] Di solito, le firme DKIM non sono visibili agli utenti poiché sono apposte o verificate dai service provider (SP). Per questo motivo, il DKIM differisce dalla crittografia end-to-end, la quale non prevede interazioni di terze parti.

Dettagli tecnici

modifica

Firmatario

modifica

L'organizzazione firmataria può essere il gestore diretto del messaggio, come un autore, l'Agente di invio messaggi (mail Submission agent) o un ulteriore intermediario lungo il percorso di transito, o un gestore indiretto come un servizio indipendente che fornisce assistenza al gestore diretto.

I moduli di firma da inserire (uno o più) DKIM-Signature: campi intestazione, possibilmente per conto dell'organizzazione autrice o del fornitore originale del servizio. La specifica permette ai firmatari di scegliere quali campi intestazione firmano, ma il campo From: deve sempre essere firmato.[2][3] Il campo intestazione che ne risulta consiste di un elenco di parti tag=value come nell'esempio seguente:

DKIM-Signature: v=1; a=rsa-sha256; d=example.net; s=brisbane;
     c=relaxed/simple; q=dns/txt; i=foo@eng.example.net;
     t=1117574938; x=1118006938; l=200;
     h=from:to:subject:date:keywords:keywords;
     z=From:foo@eng.example.net|To:joe@example.com|
       Subject:demo=20run|Date:July=205,=202005=203:44:08=20PM=20-0700;
     bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
     b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
              VoG4ZHRNiYzR

Dove sono usate le seguenti etichette:

  • v (obbligatorio), versione
  • a (obbligatorio), algoritmo di firma
  • d (obbligatorio), Signing Domain Identifier (SDID)
  • s (obbligatorio), selettore
  • c (opzionale), algoritmi di canonicalization per intestazione e corpo
  • q (opzionale), metodo di interrogazione predefinito
  • i (opzionale), agente o utente identificante (AUID)
  • t (consigliato), marca temporale della firma
  • x (consigliato), tempo di scadenza
  • l (opzionale), lunghezza del corpo
  • h (obbligatorio), campi intestazione - elenco di quelli che sono stati firmati
  • z (opzionale), campi intestazione - copia di alcune intestazioni e rispettivi valori
  • bh (obbligatorio), hash del corpo
  • b (obbligatorio), firma dell'intestazione e del corpo

Verifica

modifica
  1. ^ DomainKeys Identified Mail (DKIM), su help.altn.com. URL consultato il 26 marzo 2019 (archiviato dall'url originale il 26 marzo 2019).
  2. ^ Dave Crocker, Tony Hansen e Murray S. Kucherawy (a cura di), 5.4, in DomainKeys Identified Mail (DKIM) Signatures, IETF, luglio 2009.
    «The From header field MUST be signed (that is, included in the "h=" tag of the resulting DKIM-Signature header field).»
  3. ^ Signing modules use the private half of a key-pair to do the signing, and publish the public half in a DNS TXT record as outlined in the "Verification" section below.

Voci correlate

modifica

Collegamenti esterni

modifica