Che cos’è il DKIM?

DKIM (DomainKeys Identified Mail) è un protocollo di autenticazione email che consente a un’organizzazione di certificare l’autenticità di un messaggio, apponendo una firma digitale che i provider di posta elettronica possono verificare. Questa verifica è resa possibile dall’uso della crittografia.

L’implementazione di tecnologie di autenticazione come DKIM è uno dei metodi più efficaci per proteggerti da attacchi mirati via email. Insieme a SPF (Sender Policy Framework), DKIM è un pilastro della sicurezza della posta elettronica.

Il processo di firma e test DKIM si articola in tre fasi principali. Innanzitutto, il sistema del mittente identifica i campi dell’email da includere nella firma digitale. Questi campi includono tipicamente l’indirizzo del mittente (From), l’oggetto (Subject), il corpo del messaggio e altre intestazioni. È fondamentale che questi campi rimangano invariati durante la trasmissione, altrimenti l’autenticazione DKIM fallirà.

In secondo luogo, la piattaforma email del mittente crea un “hash” (un’impronta digitale unica) dei campi selezionati. Ad esempio, i seguenti campi:

Da: Jane Doe <jane.doe@proofpoint.com>

Oggetto: Aggiornamento

verranno trasformati in una stringa di hash come questa:

3303baf8986f910720abcfa607d81f53

Una volta generato, questo hash viene crittografato utilizzando una chiave privata, accessibile esclusivamente al server del mittente.

Infine, una volta che l’email viene inviata, spetta al gateway di posta elettronica o alla casella di posta elettronica del consumatore convalidare la firma DKIM. Il server recupera la chiave pubblica del mittente (disponibile pubblicamente tramite DNS) che corrisponde alla chiave privata. La firma DKIM viene quindi decifrata, rivelando l’hash originale del mittente.

A questo punto, il server del destinatario calcola a sua volta un hash degli stessi campi dell’email ricevuta e lo confronta con l’hash decifrato del mittente. Se le due stringhe corrispondono, la verifica ha successo. Questo conferma due aspetti fondamentali: primo, che i campi firmati non sono stati alterati durante il transito; secondo, che l’email proviene effettivamente dal dominio dichiarato.

La firma DKIM è l’elemento centrale del processo di convalida. Si tratta di un hash crittografato creato a partire da vari componenti del messaggio (come il dominio, il corpo e altre intestazioni), scelti dal mittente al momento dell’invio.

Per creare la firma, il server del mittente utilizza la propria chiave privata per crittografare l’hash del messaggio. Il server di posta del destinatario, a sua volta, calcola un proprio hash degli stessi componenti del messaggio. Quindi, utilizza la chiave pubblica del mittente (recuperata dal DNS) per decifrare la firma originale e ottenere l’hash del mittente. Se i due hash corrispondono, la convalida DKIM ha successo. Anche la modifica di un singolo carattere nel messaggio altererebbe l’hash, causando il fallimento della verifica.

Un errore nel processo di convalida indica che un malintenzionato potrebbe aver manomesso il messaggio. La firma DKIM garantisce quindi l’integrità del messaggio, proteggendoti da attacchi di phishing e malware veicolati tramite email intercettate e modificate.

Il record DKIM, che contiene la chiave pubblica, è una voce di tipo TXT ospitata nel DNS del dominio mittente. Il selettore DKIM è l’elemento che indica al server di posta del destinatario dove trovare esattamente la chiave pubblica corretta tra le varie voci DNS. La chiave pubblica è un componente indispensabile per la convalida, poiché serve a decifrare la firma e a verificare l’hash.

Ogni messaggio inviato con DKIM include un’intestazione DKIM-Signature che contiene il selettore e altre informazioni. Ecco un esempio:

DKIM-Signature: v=1; a=rsa; c=relaxed/relaxed; d=mydomain.com; s=s837fhs;

Il valore che segue il tag s= è il selettore DKIM (s837fhs in questo caso). Questo identificativo viene generato durante la creazione della coppia di chiavi (pubblica/privata). Per trovare il tuo selettore, è sufficiente configurare DKIM sul tuo server di posta, inviare un’email a te stesso e ispezionare le intestazioni del messaggio ricevuto, cercando la sezione DKIM-Signature.

DKIM e SPF collaborano per proteggere le email, prevenire l’intercettazione e la manomissione dei dati. Entrambi sono componenti fondamentali di DMARC (Domain-based Message Authentication Reporting and Conformance), ma hanno scopi diversi. DKIM viene utilizzato per verificare che il contenuto di un’email non sia stato alterato da terzi durante il transito.

SPF viene utilizzato per bloccare i messaggi contraffatti, verificando che l’invio provenga da un server autorizzato a spedire email per conto di quel dominio.

Con un record SPF, il proprietario del dominio crea un record TXT sui propri server DNS, in modo simile a un record DKIM che ospita le chiavi di autenticazione. Le informazioni TXT elencano tutti i server di posta elettronica autorizzati a inviare messaggi per conto del dominio. Se un attaccante utilizza intestazioni di messaggio falsificate attraverso email spoofing, il record SPF permette al server email del destinatario di rilevare i messaggi fraudolenti e di bloccarli prima che raggiungano la casella di posta della vittima designata.

Un record SPF, tuttavia, garantisce solo che i messaggi email falsificati non vengano inviati ai destinatari, ma non impedisce che un attaccante possa manomettere il messaggio. Senza DKIM, un cybercriminale potrebbe intercettare un’email e inviarne una versione alterata al destinatario. DKIM lavora insieme a SPF per garantire che il mittente sia legittimo e che il messaggio non sia stato modificato durante la trasmissione.

Insieme, DKIM e SPF aggiungono un livello di sicurezza fondamentale al sistema di posta elettronica, uno dei principali strumenti di comunicazione su Internet. Le email sono da tempo uno dei mezzi preferiti dagli attaccanti per rubare identità e credenziali utente, dato che la maggior parte degli utenti non è in grado di riconoscere messaggi contraffatti. Queste due strategie sono quindi applicate alle regole DMARC, che stabiliscono cosa deve succedere a un messaggio se non supera la convalida.

Per le grandi aziende, le regole DMARC possono mettere in quarantena i messaggi per una revisione da parte dell’amministratore. I messaggi in quarantena non raggiungono il destinatario finale a meno che l’amministratore non li trasferisca nella sua casella di posta. I falsi positivi possono essere inoltrati al destinatario in modo che nessun messaggio importante venga scartato ed eliminato per errore. Una volta che il sistema di sicurezza è stato accuratamente testato, è possibile impostare DMARC per eliminare automaticamente i messaggi che non superano la convalida DKIM e SPF.

DKIM, SPF e DMARC sono spesso usati in modo interscambiabile, ma sono tre strategie distinte che lavorano insieme per proteggere i messaggi email. Pensa a DMARC come alle regole di sicurezza che stabiliscono cosa fare con un messaggio quando DKIM e SPF non superano la convalida.

DMARC prevede tre impostazioni per la convalida fallita: quarantena, rifiuto e nessuna azione. Il processo di sicurezza DMARC determina quale di queste tre fasi verrà applicata a un messaggio, a seconda delle preferenze dell’amministratore del server email.

L’impostazione “nessuna azione” (none) significa che i messaggi continuano a fluire nella casella di posta del destinatario. Questa opzione è utile per i destinatari che devono ricevere anche messaggi che potrebbero essere stati contraffatti o contenere contenuti dannosi, come un amministratore della sicurezza o un dipendente che ha il compito di analizzare email sospette.

Lo stato “quarantena” (quarantine) è l’impostazione che molti amministratori usano per esaminare i messaggi che non superano la convalida. Il sistema di posta elettronica colloca questi messaggi in un’area sicura a cui gli utenti non possono accedere, ma che un amministratore può esaminare in un secondo momento.

Analizzando i messaggi messi in quarantena, un amministratore può capire se l’organizzazione è il bersaglio di una campagna di phishing. I messaggi in quarantena possono anche servire a verificare se le impostazioni SPF o DKIM sono state configurate in modo errato. Alcuni sistemi di sicurezza email lavorano con l’intelligenza artificiale (IA), quindi l’amministratore può segnalare un falso positivo per aiutare a “addestrare” meglio il sistema.

Se un messaggio non supera la convalida DKIM e DMARC è impostato per “rifiutare” i messaggi (reject), il server email elimina completamente il messaggio e non lo recapita da nessuna parte. Questa impostazione è comune sui server email pubblici come Gmail. Google, infatti, elimina completamente milioni di messaggi che non superano la convalida DKIM e SPF per proteggere i propri clienti da phishing, attacchi hacker e altre campagne di furto d’identità.

Un record DKIM ti avvisa quando le email potrebbero contenere spam o contenuti dannosi. Convalida anche che i dati inclusi nella firma DKIM non siano stati modificati durante il transito. Ma poiché DKIM è più complesso da implementare, sono meno i mittenti che lo hanno adottato. Inoltre, DKIM da solo non impedisce ai cybercriminali di contraffare le parti visibili del campo “da” di un’email, come l’indirizzo email, il nome visualizzato e il dominio. Quindi, come SPF, DKIM da solo non è sufficiente a proteggerti da sofisticati attacchi di phishing.

Combinando il meglio di SPF e DKIM, lo standard di autenticazione DMARC è l’unica tecnologia che può convalidare che i messaggi che utilizzano il dominio “da” dell’intestazione di un’azienda siano legittimi.