Verifica la tua configurazione DKIM in pochi secondi
DKIM (DomainKeys Identified Mail) è uno dei pilastri dell'autenticazione email. Configurato correttamente, permette ai server riceventi di verificare che le tue email provengano realmente da un sistema autorizzato e non siano state alterate durante il transito.
Configurato male, DKIM diventa un killer silenzioso della deliverability.
L'ispettore DKIM di CaptainDNS verifica il tuo record DNS esattamente come lo vedono i server riceventi. Nessuna supposizione. Nessuna scorciatoia. Lo stato DNS reale del tuo dominio.
Come funziona DKIM?
DKIM risponde a una semplice domanda per il server ricevente:
«Posso fidarmi crittograficamente di questo messaggio?»
Il processo in 3 passi:
- Firma: Il tuo server di invio firma ogni email con una chiave privata
- Pubblicazione: Il tuo dominio pubblica la chiave pubblica corrispondente in un record DNS TXT
- Verifica: Il server ricevente recupera la chiave pubblica e verifica la firma
Se il record DNS manca, è malformato, troncato o pubblicato sotto il selettore sbagliato, la verifica fallisce - anche se il tuo ESP indica che tutto è corretto.
Come usare l'ispettore in 3 passi
Passo 1: Identificare dominio e selettore
- Dominio: Il tuo dominio di invio (es:
captaindns.com) - Selettore: L'identificatore della chiave DKIM (es:
google,selector1,s1)
Come trovare il selettore?
- Negli header di un'email inviata, cerca
DKIM-Signature: s=selettore - Nella documentazione del tuo ESP (Google Workspace, Microsoft 365, ecc.)
Passo 2: Eseguire l'ispezione
Inserisci dominio e selettore sopra. Lo strumento esegue una query DNS a:
selettore._domainkey.captaindns.com
Passo 3: Analizzare i risultati
L'ispettore mostra:
- ✅ Il record grezzo come pubblicato nel DNS
- ✅ I tag decodificati (versione, tipo di chiave, chiave pubblica)
- ✅ Gli errori rilevati con spiegazioni e raccomandazioni
- ✅ Compatibilità DMARC (allineamento del dominio)
Cosa verifica l'ispettore DKIM
Lo strumento va oltre una semplice query DNS. Verifica se la tua configurazione DKIM è operativa, non solo presente.
| Verifica | Descrizione |
|---|---|
| Esistenza | Il record TXT esiste per il selettore specificato |
| Formato TXT | Il record è un TXT valido (non un CNAME orfano) |
| Sintassi | I tag obbligatori (v, k, p) sono presenti e corretti |
| Chiave pubblica | La chiave è completa, leggibile e correttamente codificata in base64 |
| Lunghezza chiave | Minimo raccomandato: RSA 2048 bit |
| Propagazione | Il record è visibile dai server DNS pubblici |
Quando DKIM sembra corretto ma fallisce comunque
È uno dei casi più comuni in produzione.
Problema 1: Selettore sbagliato
Sintomo: L'ispettore non trova il record
Diagnosi: Stai interrogando google._domainkey.captaindns.com ma il record è sotto selector1._domainkey.captaindns.com
Soluzione: Verifica il selettore esatto negli header delle tue email (DKIM-Signature: s=...)
Problema 2: Chiave troncata
Sintomo: Errore public_key_parse_error o firma non valida
Diagnosi: La chiave pubblica è stata tagliata durante il copia-incolla nell'interfaccia DNS
Soluzione: Ripubblica la chiave completa. Una chiave RSA a 2048 bit ha circa 400 caratteri.
Problema 3: Record multipli in conflitto
Sintomo: Errore lookup_multiple_dkim
Diagnosi: Esistono più record TXT per lo stesso selettore
Soluzione: Elimina i record obsoleti, mantieni solo quello corretto.
Problema 4: CNAME vs TXT
Sintomo: Errore lookup_cname_alias
Diagnosi: Il record è un CNAME che punta al tuo ESP, ma la destinazione non esiste o non risolve
Soluzione: Verifica che la destinazione del CNAME sia corretta e attiva presso il tuo provider.
Problema 5: Propagazione DNS incompleta
Sintomo: L'ispettore vede il record, ma alcuni destinatari no
Diagnosi: Il TTL non è ancora scaduto su tutti i server DNS
Soluzione: Attendi la propagazione completa (fino a 48h a seconda del TTL precedente).
DKIM da solo non basta
DKIM è essenziale, ma non funziona isolato.
| Protocollo | Funzione | Relazione con DKIM |
|---|---|---|
| SPF | Definisce chi può inviare | Indipendente ma complementare |
| DKIM | Protegge l'integrità del messaggio | - |
| DMARC | Definisce cosa fare se l'autenticazione fallisce | Richiede SPF o DKIM allineato |
Un record DKIM valido non allineato con DMARC può comunque risultare in email in quarantena o rifiutate. L'allineamento DMARC verifica che il dominio della firma DKIM (d=) corrisponda al dominio From: dell'email.
Differenza tra verifica sintassi e ispezione DNS
| Aspetto | Verificatore di sintassi | Ispettore (questo strumento) |
|---|---|---|
| Input | Valore DKIM copiato | Dominio + selettore |
| Metodo | Analisi locale | Query DNS reale |
| Quando | Prima della pubblicazione | Dopo la pubblicazione |
| Rileva | Errori di formato | Propagazione, risoluzione, conflitti |
Workflow consigliato:
- Sintassi: Usa il verificatore di sintassi DKIM prima della pubblicazione
- Pubblicazione: Aggiungi il record TXT alla tua zona DNS
- Ispezione: Usa questo ispettore per confermare la propagazione
FAQ - Domande frequenti
D: Perché il mio DKIM sta fallendo?
R: I fallimenti DKIM si verificano quando: 1) il selettore è errato o non esiste, 2) la chiave pubblica è troncata o malformata, 3) esistono più record DKIM in conflitto, 4) la propagazione DNS è incompleta. Usa questo DKIM checker per identificare la causa esatta.
D: Cos'è un selettore DKIM?
R: Il selettore è un identificatore che permette a un dominio di pubblicare più chiavi DKIM simultaneamente. Fa parte del nome DNS: selettore._domainkey.captaindns.com. Ogni ESP o sistema di invio può usare il proprio selettore, abilitando rotazioni di chiavi e configurazioni multi-provider.
D: Il mio ESP dice che DKIM è valido, ma l'ispettore trova un errore. Perché?
R: Gli ESP validano la loro configurazione interna, non necessariamente ciò che è pubblicamente visibile nel DNS. L'ispettore verifica ciò che i server riceventi vedono realmente - ed è l'unica cosa che conta per la deliverability.
D: È sicuro testare i miei record?
R: Sì. Lo strumento esegue solo query DNS in sola lettura. Non vengono inviate email. Non vengono apportate modifiche alla tua configurazione.
D: DKIM è valido, ma le mie email finiscono nello spam. Perché?
R: La validità DKIM è necessaria ma non sufficiente. L'arrivo in inbox dipende anche da: SPF, allineamento DMARC, reputazione IP/dominio, comportamento di invio e contenuto del messaggio.
D: Con quale frequenza devo controllare la mia configurazione DKIM?
R: Controlla dopo ogni modifica DNS, migrazione ESP o rotazione di chiavi. Controlli periodici in produzione sono consigliati, specialmente con più provider di invio.
D: Come faccio a sapere se DKIM è allineato con DMARC?
R: L'allineamento DKIM verifica che il dominio d= della firma DKIM corrisponda al dominio From: dell'email. L'ispettore indica se la tua configurazione è compatibile con l'allineamento DMARC.
Strumenti complementari
| Strumento | Utilità |
|---|---|
| Verificatore di sintassi DKIM | Validare un valore DKIM prima della pubblicazione DNS |
| Generatore DKIM | Generare una coppia di chiavi DKIM e il record DNS TXT |
| Ispettore SPF | Verificare il tuo record SPF |
| Ispettore DMARC | Testare la tua policy DMARC |
| Analizzatore header email | Diagnosticare fallimenti di autenticazione su email ricevute |
Risorse utili
- RFC 6376 - DKIM Signatures (specifica ufficiale)
- Google - Configurare DKIM (guida Google Workspace)
- Microsoft - DKIM in Exchange Online (guida Microsoft 365)
- DMARC.org - Allineamento (comprendere l'allineamento DMARC)