Consulenze tecnologiche e informatiche
DKIM per proteggere il proprio nome di posta elettronica

DKIM per proteggere il proprio nome di posta elettronica

Torniamo a parlare di sigle legate all’identificazione dei mittenti di posta, dopo SPF, oggi è il turno di DKIM, un altro standard con una nuova sigla in cerca di identificazione.

 

Il punto fermo è sempre quello di neutralizzare l’abuso degli indirizzi di posta per la generazione di e-mail fraudolente, con l’ovvio scopo di ingannare il destinatario spingendolo a compiere delle azioni a lui dannose seguendo le indicazioni del messaggio ricevuto.

 

A tutti è capitato di ricevere mail da indirizzi apparentemente noti, ma in realtà con dei messaggi ingannevoli e contestuali con quanto avrebbe chiedo il reale mittente. Questa situazione può sfociare in un grave danno per il ricevente, ma lo è anche per il proprietario del reale dominio di posta e della casella, che può subire una riduzione della sua reputazione e di riflesso dei problemi nella delivery delle proprie comunicazioni.

 

Ecco perché la tua banca non ti invia mai informazioni sul tuo account di posta elettronica e continua a ribadire questo fatto.

 

La misteriosa sigla DKIM

 

DomainKeys Identified Mail (DKIM), come per SPF, implementa un metodo basato sullo scambio di chiavi pubbliche e private per permettere ad un’organizzazione di assumersi la responsabilità per un messaggio di posta in transito. L’organizzazione è il gestore del messaggio, come suo autore o come intermediario. La reputazione è la base per valutare se è il caso di fidarsi del messaggio e procedere con la sua gestione. Da un punto di vista tecnico DKIM fornisce gli strumenti per convalidare l’identità del nome di dominio associato a un messaggio, usando a tale scopo l’autenticazione crittografica.

 

La prima versione di DKIM ha integrato, migliorandole, le specifiche di DomanKeys di Yahoo! e di Cisco Identified Internet Mail. Il suo sviluppo è il risultato della collaborazione tra numerosi operatori del settore nel corso del 2005, per arrivare ad una soluzione di identificazione condivisa e Open Source.

Tra i partecipanti troviamo Alt-N Technologies, AOL, InternetWorking di Brandeburgo, Cisco, EarthLink, IBM, Microsoft, PGP Corporation, Sendmail, StrongMail Systems, Tumbleweed, VeriSign e Yahoo !.

Il gruppo iniziale ha creato la specifica iniziale e alcune implementazioni, presentando quindi il lavoro svolto allo IETF (Internet Engineering Task Force) per ulteriori miglioramenti e per il passaggio a standard ufficiale.

 

La chiave di criptazione generata è nata originariamente con una codifica a 1024 bit, anche se ora è disponibile nel formato a 2048 bit, con un conseguente aumento del livello di sicurezza.  

 

I record di posta nel DNS

 

Anche per questa implementazione il punto focale è il DNS, in modo molto simile alla soluzione adottata per SPF.

 

La differenza di DKIM è l’aggiunta di una firma digitale alle intestazioni dei messaggi in uscita. Questo avviene attraverso una chiave di crittografia privata associata al dominio e generata dal server di spedizione, con l’aggiunta della corrispondente chiave pubblica al record del DNS.

 

I server che ricevono i messaggi possono, di conseguenza, recuperare la chiave pubblica per decrittare le intestazioni dei messaggi in arrivo e verificare che provengano effettivamente dal dominio specificato e che non abbiano subito modifiche durante il tragitto.

 

Il primo passo per l’attivazione di DKIM è quello di generare le chiavi privata e pubblica per il dominio di posta, questa operazione viene assolta dal server di posta e può essere diversa in base al tipo di prodotto utilizzato o al gestore di cloud.

La chiave privata resta protetta e custodita sul server e per nessuna ragione deve essere divulgata a terze persone.

 

Il passo successivo è inserire la chiave pubblica nel DNS di dominio, per fare questa azione si utilizzano i record di tipo TXT, dove avendo a che fare con chiavi di 1024 o 2048 caratteri bisogna prestare attenzione che l’inserimento avvenga in modo corretto.

La stringa può essere spezzata in stringhe più piccole delimitata da doppi apici () ed inserite nel medesimo record TXT.

La presenza di caratteri di interruzione di riga o similari, inseriti automaticamente durante le operazioni di copia e incolla, invalida la stringa e può tradursi in una perdita di reputazione e nel blocco dei messaggi spediti, che vengono rifiutati dal server di ricezione.

 

Il caso di errore è maggiore nei casi in cui la modifica dei record è svolta in seguito alla spedizione di FAX o file al provider che gestisce il DNS, il quale in seguito copia il contenuto e lo riporta nel DNS, magari non avvedendosi della presenza di un carattere di troppo o di un errore di digitazione, trascrivere 2048 caratteri non è una passeggiata.

 

Nel cuore del DNS

 

Come primo passaggio definiamo i record DNS relativi al nome delle macchine (host) che ospitano il server di posta, possono essere più di uno.

 

Host Tipo record IP
mail A 192.168.20.1

 

L’indirizzo IP del esempio è un riservato di rete privata, deve ovviamente essere l’indirizzo pubblico con il quale i server di posta sono visibili in Internet.

 

Stabilito questo andiamo ad indicare che questo server di Internet è un sistema di posta e le mail indirizzate al dominio devono essere recapitate a lui.

 

Dominio Tipo record Priotità Host
miodominio.it MX 10 mail.miodominio.it.

 

I server di posta che devono inviare una e-mail al dominio cercano nel DNS gli indirizzi dei Mail Exchanger (MX) e contattano quello con la priorità più bassa, nel caso di scelte multiple.

 

In tutto questo vediamo come si collega una chiave DKIM al dominio di posta.

 

Record DNS per DKIM

Record DNS per DKIM

 

Il record in cui inserire la stringa delle policy è normalmente di tipo TXT, ovvero una sorta di stringa di commento.

Nel esempio la chiave è stata generata da un server ALT-N MDaemon e la parte inziale del nome dominio MDaemon._domainkey.epm.miodominio.it, ovvero MDaemon, costituisce il selettore.

 

Per controllare la presenza del record DKIM nel DNS esistono diversi strumenti di controllo nel web, ad esempio DKIMCore.

 

Se sei interessato ad approfondire questi contenuti o ad avere nella tua aziende questi strumenti o i prodotti menzionati, contattaci attraverso la pagina di contatto di questo sito, o se preferisci cercami attraverso la pagina FaceBook o il mio profilo Linkedin. Per essere informato sui nuovi articoli e contenuti puoi anche iscriverti alle nostre newsletter.

 

Per la creazione di questo sito abbiamo deciso di non prelevare immagini direttamente da internet, ma di rispettare i diritti d'autore generando direttamente la grafica o acquistando i diritti di pubblicazione da un sito specializzato.
Se vuoi seguire il nostro esempio clicca anche tu questo banner.


MENU Fotolia

Categorie
Archivi
Count per Day
  • 105Questo articolo:
  • 82137Totale letture:
  • 79Letture odierne:
  • 192Letture di ieri:
  • 21 novembre 2016Dal:
Iscriviti alla Newsletter
Iscriviti alla nostra newsletter ed unisciti ai nostri iscritti.

Seleziona lista (o più di una):




Trattamento dei dati