Vai al contenuto principale
CaptainDNS
NUOVO·Monitoraggio della sicurezza e della recapitabilità email. Ricevi un avviso non appena una variazione di punteggio o di record DNS mette a rischio il tuo dominio.Scopri di più

Generatore DKIM Gratuito

Crea una coppia di chiavi DKIM (RSA o Ed25519) in pochi clic

Generatore DKIM gratuito con supporto RSA (2048/4096 bit) ed Ed25519. Ottieni istantaneamente la tua chiave privata e il record DNS TXT da pubblicare. La chiave privata viene generata una sola volta e non viene mai memorizzata sui nostri server.

1Dominio e selettore
Cosa vuoi fare?

Il dominio mittente per cui pubblicare la chiave DKIM.

Identificatore univoco della chiave. Una convenzione pratica: un selettore con data come k2026.

2Algoritmo e lunghezza della chiave
Algoritmo di firma
Lunghezza della chiave RSA
3Opzioni avanzateFacoltativo
Opzioni avanzate (indicatori, tipo di servizio, note)
Indicatori (t=)
Tipo di servizio (s=)
Configurazione:RSA 2048

RSA ed Ed25519

Supporto degli algoritmi RSA (1024/2048/4096 bit) ed Ed25519. RSA 2048 bit è consigliato per una compatibilità massima con tutti i server mail.

Chiave privata sicura

La chiave privata viene generata lato server e trasmessa una sola volta. Non viene mai memorizzata né registrata nei log. Scaricala immediatamente in formato PEM.

Validazione DNS

Verifica automatica della lunghezza del record. Avviso se il record supera i 255 caratteri (limite DNS TXT) con RSA 4096 bit.

Copia con un clic

Copia il record DNS TXT direttamente o scarica la chiave privata in formato PEM. Pronto per la configurazione del tuo server mail.

Guide per provider

Istruzioni di distribuzione per Google Workspace, Microsoft 365 e server mail personalizzati (Postfix con OpenDKIM).

Cos'è DKIM?

DKIM (DomainKeys Identified Mail) è un meccanismo di autenticazione email definito nella RFC 6376. Permette di firmare crittograficamente le email in uscita per provare la loro origine e integrità.

Perché configurare DKIM:

  • Autenticare le tue email - Dimostra che l'email proviene realmente dal tuo dominio
  • Proteggere contro la falsificazione - La firma rileva qualsiasi modifica del contenuto
  • Migliorare la deliverability - Le email firmate DKIM sono meglio accettate da Gmail, Outlook, Yahoo
  • Prerequisito per DMARC - DKIM è uno dei due pilastri dell'autenticazione DMARC (insieme a SPF)

Come funziona DKIM?

DKIM utilizza la crittografia asimmetrica (chiave pubblica/privata):

  1. Firma all'invio: Il tuo server mail calcola un hash del messaggio e lo firma con la chiave privata
  2. Pubblicazione DNS: La chiave pubblica viene pubblicata in un record TXT su selector._domainkey.domain.com
  3. Verifica alla ricezione: Il server destinatario recupera la chiave pubblica tramite DNS e verifica la firma
Invio:  Messaggio → Hash → Firma (chiave privata) → Header DKIM-Signature
Ricezione: Header → Chiave pubblica (DNS) → Verifica firma → Pass/Fail

Sintassi di un record DKIM

Un record DKIM è un record DNS TXT pubblicato su <selector>._domainkey.<domain>:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Tag DKIM

TagDescrizioneObbligatorioValori
vVersioneConsigliatoDKIM1
kTipo di chiaveNo (default: rsa)rsa, ed25519
pChiave pubblicaBase64 DER
hAlgoritmi di hashNosha256, sha1
tFlagNoy (test), s (strict)
sTipi di servizioNoemail, *
nNoteNoTesto libero

Esempi di record

RSA 2048 bit (consigliato):

default._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Ed25519:

default._domainkey.captaindns.com TXT "v=DKIM1; k=ed25519; p=MCowBQYDK2Vw..."

RSA vs Ed25519: quale algoritmo scegliere?

CriterioRSA 2048RSA 4096Ed25519
SicurezzaBuonaEccellenteEccellente
SupportoUniversaleUniversaleParziale (~80%)
Lunghezza record~400 char~800 char~90 char
PrestazioniBuoneLenteMolto veloci
RaccomandazioneProduzioneSensibileAvanzato

Raccomandazioni

  • RSA 2048 bit: Standard attuale, compatibilità massima. Scegli questa opzione di default.
  • RSA 4096 bit: Per ambienti molto sensibili. Attenzione alle limitazioni DNS.
  • Ed25519: Per configurazioni avanzate. Valuta un doppio selettore (RSA + Ed25519).
  • RSA 1024 bit: Deprecato dal 2020. Da evitare.

Lunghezza delle chiavi e limiti DNS

Il limite di 255 caratteri

I record DNS TXT sono limitati a 255 caratteri per stringa. Ecco l'impatto per algoritmo:

AlgoritmoLunghezza recordCompatibile DNS
Ed25519~90 char✅ Sempre
RSA 1024~230 char✅ Sempre
RSA 2048~400 char⚠️ Suddivisione auto
RSA 4096~800 char⚠️ Verifica provider

Come i provider gestiscono i record lunghi

La maggior parte dei provider DNS (Cloudflare, AWS Route 53, Google Cloud DNS) suddivide automaticamente i record lunghi in più stringhe. Il protocollo DNS le concatena alla lettura.

Se il tuo provider non supporta i record lunghi, preferisci RSA 2048 bit o Ed25519.

Casi d'uso concreti

Nuovo dominio: prima configurazione DKIM

Contesto: Stai configurando un nuovo server mail (Postfix, ecc.)

Soluzione:

  1. Genera una chiave RSA 2048 bit con il selettore default
  2. Scarica la chiave privata e configura OpenDKIM
  3. Pubblica il record TXT nella tua zona DNS
  4. Verifica con il DKIM Checker

Rotazione della chiave DKIM

Contesto: La tua chiave DKIM ha più di 12 mesi o è stata compromessa

Soluzione:

  1. Genera una nuova chiave con un nuovo selettore (es: s2, 202602)
  2. Configura la nuova chiave nel tuo server mail
  3. Pubblica il nuovo record DNS
  4. Attendi 24-48h di propagazione DNS
  5. Elimina il vecchio record

Doppio selettore: RSA + Ed25519

Contesto: Vuoi sfruttare Ed25519 mantenendo la compatibilità RSA

Soluzione:

  1. Genera una chiave RSA 2048 con il selettore rsa
  2. Genera una chiave Ed25519 con il selettore ed
  3. Configura il tuo server per firmare con entrambe le chiavi
  4. I server moderni verificheranno Ed25519, quelli vecchi useranno RSA

Flag DKIM: modalità test e strict

Flag t=y (modalità test)

Attiva la modalità test DKIM. I fallimenti della verifica vengono trattati come neutri (né pass né fail).

Uso: Testa la tua configurazione senza rischiare rifiuti. Rimuovi il flag una volta validato.

Flag t=s (modalità strict)

Richiede un allineamento rigoroso tra il dominio della firma DKIM e il dominio From. Di default, l'allineamento relaxed autorizza i sottodomini.

Uso: Rafforza la sicurezza in produzione. Assicurati che tutte le tue email siano firmate dal dominio esatto.

FAQ - Domande frequenti

D: Come generare una chiave DKIM per il mio dominio?

R: Usa il nostro generatore: inserisci il tuo dominio e un selettore, scegli RSA 2048 bit, clicca su Genera. Scarica la chiave privata e pubblica il record TXT nel tuo DNS.

D: Qual è la differenza tra RSA ed Ed25519?

R: RSA è supportato da tutti i server. Ed25519 è più moderno con chiavi più corte, ma il supporto non è universale (~80%). Consiglio: RSA 2048 bit per la produzione.

D: Quale lunghezza di chiave RSA scegliere?

R: RSA 2048 bit è lo standard. RSA 1024 è deprecato. RSA 4096 offre più sicurezza ma genera record molto lunghi.

D: Cos'è un selettore DKIM?

R: Un identificatore che permette di avere più chiavi DKIM. Esempi: default, google, s1. Il record viene pubblicato su selector._domainkey.dominio.com.

D: La chiave privata viene memorizzata?

R: No. Generata una sola volta, trasmessa, poi eliminata. Scaricala immediatamente.

D: Perché il mio record supera i 255 caratteri?

R: RSA 4096 genera record di oltre 800 caratteri. La maggior parte dei provider li suddivide automaticamente. Altrimenti, preferisci RSA 2048 o Ed25519.

D: Come configurare DKIM con Google Workspace?

R: Google genera le proprie chiavi. Admin Console > Gmail > Authenticate email > Generate new record. Il nostro strumento è per server personalizzati.

Strumenti complementari

StrumentoUtilità
DKIM Record CheckVerifica che il tuo DKIM sia pubblicato e valido
DKIM Syntax CheckValida la sintassi di un record DKIM
DKIM Selector FinderScopri i selettori DKIM attivi del tuo dominio
SPF GeneratorCrea il tuo record SPF
DMARC GeneratorConfigura DMARC per completare l'autenticazione
Mail TesterTesta la deliverability delle tue email

Risorse utili