Vai al contenuto principale

Novità

Testa la deliverability delle tue email

Invia un'email di test e ottieni una diagnosi completa dell'autenticazione SPF, DKIM e DMARC in pochi secondi.

  • Test di invio reale
  • Diagnosi istantanea
  • Senza registrazione
Avvia il test

DKIM Checker

DKIM check e lookup con query DNS in tempo reale - correggi i fallimenti DKIM

Perché il tuo DKIM sta fallendo? Inserisci dominio e selettore per un DKIM check completo con lookup DNS, validazione della chiave e rilevamento degli errori.

Lookup DNS in tempo reale

Interroga il DNS esattamente come fanno i server riceventi. Nessuna simulazione, nessuna cache locale - lo stato reale del tuo record.

Rotazione chiavi sicura

Verifica che il nuovo selettore sia attivo e funzionante prima di disattivare quello vecchio. Evita interruzioni del servizio.

Diagnosi dettagliata

Identifica con precisione perché le tue email falliscono: chiave troncata, selettore errato, record mancante o conflitto DNS.

Compatibilità DMARC

Verifica che la tua firma DKIM sia compatibile con l'allineamento DMARC richiesto per proteggere il tuo dominio dallo spoofing.

Azioni raccomandate

Ogni problema rilevato include istruzioni precise per correggerlo. Segui la guida passo dopo passo.

Verifica la tua configurazione DKIM in pochi secondi

DKIM (DomainKeys Identified Mail) è uno dei pilastri dell'autenticazione email. Configurato correttamente, permette ai server riceventi di verificare che le tue email provengano realmente da un sistema autorizzato e non siano state alterate durante il transito.

Configurato male, DKIM diventa un killer silenzioso della deliverability.

L'ispettore DKIM di CaptainDNS verifica il tuo record DNS esattamente come lo vedono i server riceventi. Nessuna supposizione. Nessuna scorciatoia. Lo stato DNS reale del tuo dominio.

Come funziona DKIM?

DKIM risponde a una semplice domanda per il server ricevente:

«Posso fidarmi crittograficamente di questo messaggio?»

Il processo in 3 passi:

  1. Firma: Il tuo server di invio firma ogni email con una chiave privata
  2. Pubblicazione: Il tuo dominio pubblica la chiave pubblica corrispondente in un record DNS TXT
  3. Verifica: Il server ricevente recupera la chiave pubblica e verifica la firma

Se il record DNS manca, è malformato, troncato o pubblicato sotto il selettore sbagliato, la verifica fallisce - anche se il tuo ESP indica che tutto è corretto.

Come usare l'ispettore in 3 passi

Passo 1: Identificare dominio e selettore

  • Dominio: Il tuo dominio di invio (es: captaindns.com)
  • Selettore: L'identificatore della chiave DKIM (es: google, selector1, s1)

Come trovare il selettore?

  • Negli header di un'email inviata, cerca DKIM-Signature: s=selettore
  • Nella documentazione del tuo ESP (Google Workspace, Microsoft 365, ecc.)

Passo 2: Eseguire l'ispezione

Inserisci dominio e selettore sopra. Lo strumento esegue una query DNS a:

selettore._domainkey.captaindns.com

Passo 3: Analizzare i risultati

L'ispettore mostra:

  • Il record grezzo come pubblicato nel DNS
  • I tag decodificati (versione, tipo di chiave, chiave pubblica)
  • Gli errori rilevati con spiegazioni e raccomandazioni
  • Compatibilità DMARC (allineamento del dominio)

Cosa verifica l'ispettore DKIM

Lo strumento va oltre una semplice query DNS. Verifica se la tua configurazione DKIM è operativa, non solo presente.

VerificaDescrizione
EsistenzaIl record TXT esiste per il selettore specificato
Formato TXTIl record è un TXT valido (non un CNAME orfano)
SintassiI tag obbligatori (v, k, p) sono presenti e corretti
Chiave pubblicaLa chiave è completa, leggibile e correttamente codificata in base64
Lunghezza chiaveMinimo raccomandato: RSA 2048 bit
PropagazioneIl record è visibile dai server DNS pubblici

Quando DKIM sembra corretto ma fallisce comunque

È uno dei casi più comuni in produzione.

Problema 1: Selettore sbagliato

Sintomo: L'ispettore non trova il record

Diagnosi: Stai interrogando google._domainkey.captaindns.com ma il record è sotto selector1._domainkey.captaindns.com

Soluzione: Verifica il selettore esatto negli header delle tue email (DKIM-Signature: s=...)

Problema 2: Chiave troncata

Sintomo: Errore public_key_parse_error o firma non valida

Diagnosi: La chiave pubblica è stata tagliata durante il copia-incolla nell'interfaccia DNS

Soluzione: Ripubblica la chiave completa. Una chiave RSA a 2048 bit ha circa 400 caratteri.

Problema 3: Record multipli in conflitto

Sintomo: Errore lookup_multiple_dkim

Diagnosi: Esistono più record TXT per lo stesso selettore

Soluzione: Elimina i record obsoleti, mantieni solo quello corretto.

Problema 4: CNAME vs TXT

Sintomo: Errore lookup_cname_alias

Diagnosi: Il record è un CNAME che punta al tuo ESP, ma la destinazione non esiste o non risolve

Soluzione: Verifica che la destinazione del CNAME sia corretta e attiva presso il tuo provider.

Problema 5: Propagazione DNS incompleta

Sintomo: L'ispettore vede il record, ma alcuni destinatari no

Diagnosi: Il TTL non è ancora scaduto su tutti i server DNS

Soluzione: Attendi la propagazione completa (fino a 48h a seconda del TTL precedente).

DKIM da solo non basta

DKIM è essenziale, ma non funziona isolato.

ProtocolloFunzioneRelazione con DKIM
SPFDefinisce chi può inviareIndipendente ma complementare
DKIMProtegge l'integrità del messaggio-
DMARCDefinisce cosa fare se l'autenticazione fallisceRichiede SPF o DKIM allineato

Un record DKIM valido non allineato con DMARC può comunque risultare in email in quarantena o rifiutate. L'allineamento DMARC verifica che il dominio della firma DKIM (d=) corrisponda al dominio From: dell'email.

Differenza tra verifica sintassi e ispezione DNS

AspettoVerificatore di sintassiIspettore (questo strumento)
InputValore DKIM copiatoDominio + selettore
MetodoAnalisi localeQuery DNS reale
QuandoPrima della pubblicazioneDopo la pubblicazione
RilevaErrori di formatoPropagazione, risoluzione, conflitti

Workflow consigliato:

  1. Sintassi: Usa il verificatore di sintassi DKIM prima della pubblicazione
  2. Pubblicazione: Aggiungi il record TXT alla tua zona DNS
  3. Ispezione: Usa questo ispettore per confermare la propagazione

FAQ - Domande frequenti

D: Cos'è un selettore DKIM?

R: Il selettore è un identificatore che permette a un dominio di pubblicare più chiavi DKIM simultaneamente. Fa parte del nome DNS: selettore._domainkey.captaindns.com. Ogni ESP o sistema di invio può usare il proprio selettore, abilitando rotazioni di chiavi e configurazioni multi-provider.

D: Il mio ESP dice che DKIM è valido, ma l'ispettore trova un errore. Perché?

R: Gli ESP validano la loro configurazione interna, non necessariamente ciò che è pubblicamente visibile nel DNS. L'ispettore verifica ciò che i server riceventi vedono realmente - ed è l'unica cosa che conta per la deliverability.

D: È sicuro testare i miei record?

R: Sì. Lo strumento esegue solo query DNS in sola lettura. Non vengono inviate email. Non vengono apportate modifiche alla tua configurazione.

D: DKIM è valido, ma le mie email finiscono nello spam. Perché?

R: La validità DKIM è necessaria ma non sufficiente. L'arrivo in inbox dipende anche da: SPF, allineamento DMARC, reputazione IP/dominio, comportamento di invio e contenuto del messaggio.

D: Con quale frequenza devo controllare la mia configurazione DKIM?

R: Controlla dopo ogni modifica DNS, migrazione ESP o rotazione di chiavi. Controlli periodici in produzione sono consigliati, specialmente con più provider di invio.

D: Come faccio a sapere se DKIM è allineato con DMARC?

R: L'allineamento DKIM verifica che il dominio d= della firma DKIM corrisponda al dominio From: dell'email. L'ispettore indica se la tua configurazione è compatibile con l'allineamento DMARC.

Strumenti complementari

StrumentoUtilità
Verificatore di sintassi DKIMValidare un valore DKIM prima della pubblicazione DNS
Ispettore SPFVerificare il tuo record SPF
Ispettore DMARCTestare la tua policy DMARC
Analizzatore header emailDiagnosticare fallimenti di autenticazione su email ricevute
Propagazione DNSVerificare la propagazione mondiale dei tuoi record

Risorse utili