Come trovare il selettore DKIM: 4 metodi spiegati passo passo
Di CaptainDNS
Pubblicato il 18 febbraio 2026
- Il selettore DKIM è un identificatore testuale (es:
google,selector1,k1) che localizza la chiave pubblica nel DNS - Metodo 1: Aprire le intestazioni di un'email ricevuta e cercare
s=nella rigaDKIM-Signature - Metodo 2: Consultare la console admin del tuo fornitore email (Google, Microsoft, ecc.)
- Metodo 3: Testare manualmente con
digonslookupse conosci il fornitore - Metodo 4: Utilizzare uno strumento di scoperta automatica per scansionare 100+ selettori noti tramite brute-force DNS
Vuoi verificare la tua configurazione DKIM, ma lo strumento che usi chiede un "selettore" e non hai idea di cosa sia. Non sei il solo. È il primo ostacolo che incontra la maggior parte degli amministratori quando scopre l'autenticazione email.
Il selettore DKIM è un identificatore testuale che permette di localizzare la chiave pubblica DKIM nel DNS di un dominio. Senza di esso, è impossibile verificare una firma DKIM. La buona notizia: esistono diversi modi per trovarlo, anche se nessuno te lo ha comunicato.
Questa guida presenta 4 metodi concreti, dal più semplice al più tecnico. Che tu sia amministratore di sistema, responsabile marketing o sviluppatore, uno di questi funzionerà per la tua situazione.
Promemoria: cos'è un selettore DKIM?
Quando un server email firma un messaggio con DKIM, aggiunge un'intestazione DKIM-Signature che contiene, tra le altre cose, due informazioni chiave:
d=: il dominio firmatario (es:captaindns.com)s=: il selettore (es:google,selector1,s1)
Il destinatario combina questi due valori per cercare la chiave pubblica nel DNS:
<selettore>._domainkey.<dominio>
Per esempio, per il dominio captaindns.com con il selettore google:
google._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIj..."
Ogni fornitore email utilizza il proprio selettore. Un dominio può averne diversi (uno per servizio di invio). Ecco perché non esiste un valore "predefinito" universale.
Metodo 1: Estrarre il selettore dalle intestazioni email
È il metodo più affidabile. Ogni email firmata con DKIM contiene il selettore in chiaro nelle sue intestazioni.
Passaggio 1: Aprire le intestazioni complete
| Client email | Accesso alle intestazioni |
|---|---|
| Gmail (web) | Aprire il messaggio > Menu ⋮ > "Mostra originale" |
| Outlook (web) | Aprire il messaggio > Menu ⋯ > "Visualizza origine messaggio" |
| Apple Mail | Visualizzazione > Messaggio > Intestazioni complete |
| Thunderbird | Visualizza > Intestazioni > Tutte |
Passaggio 2: Cercare DKIM-Signature
Nelle intestazioni, cerca la riga che inizia con DKIM-Signature::
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=captaindns.com; s=google; t=1739800000;
h=from:to:subject:date:message-id;
bh=abcdef123456...;
b=ABCDEF789012...
Passaggio 3: Leggere il valore di s=
Il selettore è il valore dopo s=. Nell'esempio qui sopra: google.
Attenzione: un'email può contenere più firme DKIM (una per ogni servizio attraversato). Cerca quella il cui d= corrisponde al tuo dominio.
Quando usare questo metodo?
- Hai accesso a un'email inviata dal dominio da verificare
- Vuoi il selettore esatto utilizzato in produzione
- Sospetti che il selettore sia cambiato di recente
Metodo 2: Consultare la console admin del fornitore
Ogni fornitore email mostra il selettore DKIM nella sua console di amministrazione.
Google Workspace
- Aprire la Console di amministrazione Google
- Menu > Applicazioni > Google Workspace > Gmail
- "Autenticazione email" > cliccare sul dominio
- Il selettore viene visualizzato (predefinito:
google)
Microsoft 365
- Aprire l'Interfaccia di amministrazione Exchange
- Flusso di posta > Regole > DKIM
- Selezionare il dominio
- I selettori vengono visualizzati (predefiniti:
selector1eselector2)
Altri fornitori
| Fornitore | Posizione | Selettore predefinito |
|---|---|---|
| SendGrid | Settings > Sender Authentication > Domain | s1, s2 |
| Mailchimp | Website > Domains > Authentication | k1, k2, k3 |
| Postmark | Sender Signatures > DNS Settings | pm |
| HubSpot | Settings > Domain & URLs > Email Sending | hs1, hs2 |
| Brevo | Impostazioni > Mittenti > Domini | mail, sendinblue |
Quando usare questo metodo?
- Sei amministratore del servizio email
- Stai configurando DKIM per la prima volta
- Cerchi il selettore prima di inviare una prima email
Metodo 3: Interrogare il DNS manualmente
Se conosci il fornitore email, puoi testare direttamente i selettori noti tramite una query DNS.
Con dig (Linux/macOS)
dig TXT google._domainkey.captaindns.com +short
Risultato se il selettore esiste:
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOC..."
Risultato se il selettore non esiste: nessun output (NXDOMAIN).
Con nslookup (Windows)
nslookup -type=TXT google._domainkey.captaindns.com
Con PowerShell
Resolve-DnsName -Name "google._domainkey.captaindns.com" -Type TXT
Quali selettori testare?
Se non sai quale fornitore viene utilizzato, testa prima i più comuni:
dig TXT google._domainkey.captaindns.com +short
dig TXT selector1._domainkey.captaindns.com +short
dig TXT selector2._domainkey.captaindns.com +short
dig TXT s1._domainkey.captaindns.com +short
dig TXT k1._domainkey.captaindns.com +short
dig TXT default._domainkey.captaindns.com +short
Quando usare questo metodo?
- Hai accesso a un terminale/CLI
- Conosci il fornitore probabile
- Vuoi verificare se un selettore specifico esiste nel DNS
Metodo 4: Strumento di scoperta automatica
Se non sai quale fornitore viene utilizzato, o se vuoi un inventario completo, uno strumento di brute-force DNS automatizzato è la soluzione più efficace.
Il principio: lo strumento testa automaticamente decine di selettori noti interrogando il DNS. È esattamente il metodo 3, ma automatizzato su 50-120 selettori.
Come funziona?
- Lo strumento rileva i tuoi fornitori email tramite i record MX
- Dà priorità ai selettori noti di questi fornitori
- Testa in parallelo ogni selettore tramite query DNS TXT
- Analizza ogni record DKIM trovato (tipo di chiave, lunghezza, validità)
Vantaggi
| Vantaggio | Dettaglio |
|---|---|
| Nessuna email necessaria | Funziona unicamente con il DNS |
| Nessun accesso admin necessario | Verifica dall'esterno |
| Scopre i selettori dimenticati | Vecchi fornitori ancora configurati |
| Analisi automatica | Avviso sulle chiavi deboli (1024 bit) |
Limiti
Il DNS non consente di elencare tutti i sottodomini di una zona. I selettori personalizzati (es: campaign-2024-q3) o generati dinamicamente (hash, UUID) non saranno rilevati tramite brute-force.
Quando usare questo metodo?
- Non conosci il fornitore email
- Stai effettuando un audit su un dominio di terzi
- Vuoi un inventario completo prima di un deployment DMARC
p=reject
Selettori DKIM predefiniti: riferimento rapido
| Fornitore | Selettori DKIM | Tipo |
|---|---|---|
| Google Workspace | google | Posta |
| Microsoft 365 | selector1, selector2 | Posta |
| SendGrid | s1, s2, smtpapi | Transazionale |
| Mailchimp | k1, k2, k3 | Marketing |
| Amazon SES | amazonses | Transazionale |
| Postmark | pm | Transazionale |
| HubSpot | hs1, hs2 | Marketing |
| Brevo (Sendinblue) | mail, sendinblue | Marketing |
| Zoho Mail | zoho, zmail | Posta |
| Mailgun | smtp, pic, k1 | Transazionale |
Un dominio attivo utilizza spesso 2-4 selettori: uno per la posta principale, uno o due per gli strumenti di marketing, e a volte uno per il transazionale.
Confronto dei 4 metodi
| Criterio | Intestazioni email | Console admin | DNS manuale | Strumento automatico |
|---|---|---|---|---|
| Affidabilità | Molto alta | Alta | Alta | Alta |
| Accesso richiesto | Email ricevuta | Account admin | Terminale | Nessuno |
| Scopre tutti i selettori | No (1 per email) | No (1 fornitore) | No (1 per query) | Sì (50-120 testati) |
| Livello tecnico | Basso | Basso | Medio | Basso |
| Tempo | 2 min | 5 min | 10 min | 30 sec |
| Selettore esatto in prod | Sì | Non sempre | Se indovinato | Sì |
Raccomandazione: inizia con il metodo 1 se hai un'email a portata di mano. Usa il metodo 4 per un audit completo.
Piano d'azione raccomandato
- Verifica rapida: apri un'email ricevuta, cerca
s=inDKIM-Signature(metodo 1) - Inventario completo: lancia una scansione automatica per scoprire tutti i selettori attivi (metodo 4)
- Validazione: verifica ogni selettore trovato con un DKIM Checker per confermare la validità della chiave pubblica
- Documentazione: annota i tuoi selettori attivi e il fornitore associato come riferimento futuro
- Pulizia: elimina i record DNS dei selettori DKIM di fornitori che non usi più
FAQ
Cos'è un selettore DKIM?
Un selettore DKIM è un identificatore testuale che permette di localizzare la chiave pubblica DKIM nel DNS. È pubblicato all'indirizzo selettore._domainkey.dominio.com. Ogni fornitore email utilizza il proprio selettore: Google utilizza google, Microsoft utilizza selector1 e selector2, SendGrid utilizza s1 e s2.
Dove trovare il selettore DKIM in un'email?
Apri le intestazioni complete dell'email (in Gmail: menu ⋮ > "Mostra originale"). Cerca la riga DKIM-Signature: e leggi il valore dopo s=. Quello è il tuo selettore. Attenzione, un'email può contenere più firme DKIM se il messaggio ha attraversato più servizi.
Come trovare il selettore DKIM senza avere un'email?
Due opzioni: consulta la console admin del tuo fornitore email (Google Admin, Exchange, ecc.), oppure utilizza uno strumento di scoperta automatica che testa i selettori noti tramite brute-force DNS. La seconda opzione non richiede alcun accesso all'account.
Quali sono i selettori DKIM predefiniti di Google Workspace?
Google Workspace utilizza il selettore google per impostazione predefinita. Il record DKIM è pubblicato all'indirizzo google._domainkey.captaindns.com. Alcune configurazioni avanzate possono utilizzare un selettore personalizzato definito nella Console di amministrazione Google.
Quali sono i selettori DKIM di Microsoft 365?
Microsoft 365 utilizza due selettori: selector1 e selector2. Sono pubblicati tramite record CNAME che puntano ai server Microsoft. La rotazione tra i due selettori è gestita automaticamente da Microsoft.
Si possono avere più selettori DKIM sullo stesso dominio?
Sì, ed è anche comune. Un dominio attivo utilizza generalmente 2-4 selettori: uno per la posta (Google/Microsoft), uno per il marketing (Mailchimp/HubSpot), e uno per il transazionale (SendGrid/Postmark). Ogni selettore possiede la propria chiave pubblica nel DNS.
Il selettore DKIM è confidenziale?
No. Il selettore DKIM è un'informazione pubblica. È visibile nelle intestazioni di ogni email inviata e punta a un record DNS pubblico. Conoscere il selettore non compromette la sicurezza, solo la chiave privata (conservata sul server di invio) deve restare confidenziale.
Glossario
- Selettore DKIM: identificatore testuale che permette di localizzare la chiave pubblica DKIM nel DNS all'indirizzo
selettore._domainkey.dominio. - DKIM-Signature: intestazione aggiunta a un'email dal server di invio, contenente la firma crittografica e i metadati (dominio, selettore, algoritmo).
- _domainkey: spazio dei nomi DNS riservato alle chiavi DKIM. Tutti i record DKIM sono pubblicati sotto
<selettore>._domainkey.<dominio>. - CNAME: tipo di record DNS utilizzato da alcuni fornitori (Microsoft, SendGrid) per delegare la gestione della chiave DKIM ai propri server.
- Brute-force DNS: tecnica che consiste nel testare un catalogo di selettori noti interrogando il DNS, per scoprire i selettori configurati per un dominio.
Scopri i tuoi selettori DKIM in pochi secondi: utilizza il DKIM Selector Finder per scansionare automaticamente 100+ selettori noti sul tuo dominio.
Guide DKIM correlate
- Cos'è un record DKIM? La guida completa: funzionamento, tag DNS, RSA vs Ed25519 e rotazione delle chiavi.
- DKIM fail: tutte le cause e come correggerle (in arrivo)
