Authentication · RFC 6376 · Aggiornato May 2026

DKIM

DomainKeys Identified Mail

DKIM (DomainKeys Identified Mail) è uno standard crittografico di autenticazione email (RFC 6376) in cui il mittente firma ogni messaggio in uscita con una chiave privata, e il ricevente verifica la firma a fronte di una chiave pubblica pubblicata nel DNS.

§1

Definizione

DKIM (DomainKeys Identified Mail) è uno standard di autenticazione email definito nella RFC 6376. Il sistema di posta mittente firma ogni messaggio in uscita con una chiave crittografica privata; un header denominato DKIM-Signature trasporta la firma, l'algoritmo e un puntatore alla chiave pubblica. Il server ricevente recupera la chiave pubblica dal DNS e verifica che la firma corrisponda al corpo del messaggio e agli header elencati — dimostrando sia che il messaggio è partito da un server in possesso della chiave privata, sia che le porzioni firmate non sono state alterate in transito.

§2

Selettori e rotazione delle chiavi

La chiave pubblica risiede in {selector}._domainkey.{domain} come record TXT. I selettori sono identificatori arbitrari — tipicamente s1, s2, mail oppure nomi vendor-specifici come amazonses. I selettori abilitano la rotazione delle chiavi: pubblicare una nuova chiave sotto un selettore fresco, far passare il signer al nuovo selettore, lasciare la vecchia chiave nel DNS finché i messaggi firmati in volo non sono drenati, quindi cancellare il vecchio record TXT. La rotazione è una pratica di igiene di base — la maggior parte degli ESP la esegue almeno annualmente e a ogni sospetto di compromissione.

§3

Come AcelleMail utilizza DKIM

Per gli invii vendor-backed (Amazon SES, Mailgun, SendGrid, SparkPost — tutti driver integrati sotto app/SendingServers/Drivers/Vendors/), DKIM viene firmato dal vendor. Il compito dell'operatore consiste nel pubblicare i record CNAME o TXT forniti dal vendor sul proprio dominio di invio. Per il driver SMTP generico, la firma DKIM è a carico dell'MTA upstream (il milter opendkim di Postfix, il signer integrato di Postal, ecc.) — AcelleMail non firma DKIM in proprio.

Il walkthrough completo di setup — l'aspetto dei record per i principali vendor e come verificare la firma — è nella guida pillar sulla deliverability.

§4

DKIM vs SPF

SPF autentica l'indirizzo IP; DKIM autentica il messaggio stesso. Un'email inoltrata che rompe SPF (perché ora proviene dagli IP del forwarder) tipicamente passa comunque DKIM (la firma copre il corpo, non il percorso). DMARC poi allinea uno o entrambi i segnali a fronte dell'header From: visibile. I tre livelli si compongono — la deliverability moderna presuppone che Lei pubblichi tutti e tre.

Fonti

Ogni affermazione di questa pagina rimanda a una di queste.

Vedi anche

Termini correlati del glossario

Continua a esplorare il cluster.

Authentication RFC 7208

SPF

Sender Policy Framework
Authentication RFC 7489

DMARC

Domain-based Message Authentication, Reporting and Conformance
Vendor

Amazon SES

Amazon Simple Email Service
Metric

Email deliverability

Il tasso al quale i messaggi inviati raggiungono la inbox del destinatario

← Torna a tutti i termini del glossario

Vuoi metterlo in produzione?

AcelleMail è una piattaforma email self-hosted con licenza una tantum, con supporto di prima classe per ogni termine di questo glossario. Niente canoni ricorrenti, niente prezzi per iscritto, codice sorgente completo.

Prova la demo live

Gestisci il tuo email marketing sul tuo server, alle tue condizioni

Unisciti alle migliaia di aziende che hanno preso il controllo del loro email marketing con codice sorgente completo, nessun canone ricorrente e invii illimitati. Licenza una tantum $80, aggiornamenti a vita.

Get the AcelleMail newsletter

Monthly issue with new releases, deliverability tips, and self-hosting playbooks. No spam.