Il problema: verificare DKIM senza conoscere il selettore
Gli strumenti DKIM classici richiedono un dominio e un selettore. Ma la maggior parte degli utenti non conosce il proprio selettore DKIM. Risultato: non possono verificare la propria configurazione.
Il DKIM Selector Finder risolve questo problema. Inserisci un dominio e lo strumento sonda il DNS per far emergere i selettori DKIM attivi tra i nomi noti, senza che tu debba inserirne uno.
Come funziona la scoperta?
1. Rilevamento dei provider tramite gli MX
Lo strumento interroga i record MX del tuo dominio per identificare i tuoi provider email, poi testa in via prioritaria i loro selettori noti:
*.google.com→ Google Workspace → selettoregoogle*.outlook.com→ Microsoft 365 → selettoriselector1,selector2*.mcsv.net→ Mailchimp → selettorik1,k2,k3
2. Sondaggio del catalogo di nomi noti
Lo strumento testa in parallelo i nomi di selettore noti interrogando:
selettore._domainkey.tuo-dominio
Per ogni nome viene inviata una query DNS TXT. Se un record DKIM risponde, viene analizzato. La scansione sonda sempre l'intero catalogo di nomi noti (generici e specifici dei provider, quasi un centinaio in totale): il rilevamento dei provider tramite gli MX si limita a riordinare la priorità interna, non cambia il numero di nomi sondati. La scansione non garantisce di trovare un selettore personalizzato, perché la scoperta non è mai esaustiva (vedi più sotto).
3. Analisi di ogni selettore trovato
Ogni selettore trovato viene analizzato con lo stesso motore del nostro DKIM Checker:
- Tipo di chiave: RSA o Ed25519
- Lunghezza della chiave in bit, decodificata dalla chiave pubblica
- Validità del record
- Avvisi di sicurezza (chiave debole, chiave revocata, modalità test, formato non valido)
- Rilevamento CNAME (delega al provider)
Perché «nessun selettore trovato» non prova nulla
È il punto più importante da capire. Il DNS non consente di enumerare i selettori di una zona: non esiste né un wildcard su *._domainkey, né un registro centrale dei selettori (RFC 6376). Il valore di un selettore è scelto liberamente dall'operatore del dominio che firma, quindi è imprevedibile.
In pratica, questo strumento può testare solo una lista di nomi noti. Un risultato vuoto significa soltanto che nessuno di questi nomi risponde, mai che il dominio sia privo di DKIM. Un selettore personalizzato (campagna-2024-q3), un token casuale (Amazon SES) o un identificatore generato dinamicamente (hash, UUID) sfuggono per costruzione al catalogo.
Quando il catalogo non trova nulla, il metodo affidabile consiste nel leggere il selettore direttamente in un'email ricevuta (vedi la sezione dedicata più sotto). È l'unico modo per ottenere il vero selettore senza indovinarlo.
Quando usare questo strumento?
| Situazione | Questo strumento fa per te |
|---|---|
| Non conosci il tuo selettore DKIM | Scoperta automatica |
| Audit di sicurezza di un dominio di terze parti | Visione completa della configurazione DKIM |
| Migrazione di provider email | Verificare quali selettori sono ancora attivi |
| Deploy DMARC in modalità reject | Assicurarsi che tutti i flussi email firmino con DKIM |
| Debug di deliverability | Identificare selettori non validi o chiavi deboli |
Selettori DKIM dei principali provider
Questi valori sono comuni o osservati, non garanzie: un provider può cambiare convenzione, consentire un selettore personalizzato, o pubblicare la sua chiave tramite un token CNAME casuale. Nessuna voce qui sotto è «il» selettore ufficiale garantito di un provider.
| Provider | Selettori comuni | Nota |
|---|---|---|
| Google Workspace | google | Predefinito documentato; prefisso personalizzabile |
| Microsoft 365 | selector1, selector2 | Coppia di rotazione; pubblicati in CNAME |
| SendGrid | s1, s2 | Predefinito Automated Security (CNAME) |
| Mailchimp | k1, k2, k3 | - |
| Mandrill (Mailchimp Transactional) | mte1, mte2 | mandrill legacy |
| Amazon SES | token casuali (CNAME) | Easy DKIM pubblica 3 token verso *.dkim.amazonses.com, nessun selettore fisso |
| Postmark | suffisso pm | Selettore datato, es. 20260128pm |
| Brevo (ex-Sendinblue) | brevo1, brevo2 | mail legacy (vecchia era Sendinblue) |
| Mailgun | pdk1, pdk2, smtp | pdk1/pdk2 = predefinito moderno (CNAME) |
| HubSpot | hs1, hs2 | - |
| Klaviyo | km1, km2 | Varianti per dominio |
| Zoho Mail | zoho, zmail | - |
| ProtonMail | protonmail, protonmail2, protonmail3 | - |
| Apple iCloud (dominio personale) | sig1 | Pubblicato in CNAME verso *.at.icloudmailadmin.com |
Questa tabella copre i provider più comuni. Lo strumento sonda in totale quasi un centinaio di nomi di selettore, senza garanzia di esaustività.
Perché selector1 e selector2 (la rotazione delle chiavi)
Molti domini espongono due selettori (selector1/selector2 in Microsoft, s1/s2 in SendGrid, brevo1/brevo2 in Brevo). Non è un duplicato: è il meccanismo di rotazione delle chiavi.
In un dato momento, un selettore porta la chiave attiva (quella che firma le email in uscita); l'altro porta una chiave di riserva, già pubblicata nel DNS. Per ruotare la chiave senza interruzioni, l'operatore sposta la firma sulla chiave di riserva, già propagata, poi sostituisce quella vecchia. Nessuna email resta priva di firma valida durante la transizione.
Il M3AAWG consiglia una rotazione annuale o biennale (frequenza osservata, non una regola universale né «obbligatoria»); una chiave corta o vecchia giustifica una rotazione più frequente. Se la scoperta fa emergere un solo selettore, la rotazione senza interruzioni è impossibile: prevedere un secondo selettore è una buona pratica di igiene.
Trovare il vero selettore da un'email ricevuta
È il metodo più affidabile, senza alcun falso negativo: il selettore è inscritto nell'header DKIM-Signature che il server mittente aggiunge a ogni messaggio firmato. Apri un'email ricevuta dal dominio e cerca il tag s=:
DKIM-Signature: v=1; a=rsa-sha256; d=esempio.com; s=selector1; ...
Qui il selettore è selector1 e il dominio firmatario (d=) è esempio.com: la chiave vive quindi a selector1._domainkey.esempio.com.
Dove visualizzare l'header grezzo a seconda della webmail:
- Gmail: apri il messaggio, menu
⋮(tre puntini) in alto a destra, poi Mostra originale. Cerca la rigaDKIM-Signaturee leggis=. - Outlook / Microsoft 365: apri il messaggio, File → Proprietà (client desktop) oppure menu
⋯→ Visualizza → Visualizza origine messaggio (web). IndividuaDKIM-Signature. - Apple Mail: menu Vista → Email → Tutte le intestazioni.
Una volta in possesso del selettore, incollalo nel DKIM Checker per ispezionare la chiave in profondità.
Metodo manuale: dig / nslookup
Se conosci (o sospetti) un selettore, puoi interrogare il DNS direttamente, senza questo strumento:
dig TXT selettore._domainkey.esempio.com +short
Su Windows, l'equivalente è:
nslookup -type=TXT selettore._domainkey.esempio.com
Una risposta che contiene v=DKIM1; ...; p=... conferma che il selettore esiste ed espone la chiave pubblica. L'assenza di risposta significa soltanto che quel nome preciso non risolve, non che il dominio sia privo di DKIM.
Limiti della scoperta tramite catalogo
Il DNS non permette di elencare i sottodomini di una zona (nessuna enumerazione wildcard su *._domainkey). La scoperta si basa su un catalogo di selettori noti.
Cosa verrà trovato:
- Selettori comuni dei provider del catalogo
- Selettori generici (
default,dkim,mail,s1,selector1, ecc.) - Selettori numerici comuni (
dkim1,dkim2,k1,k2)
Cosa non verrà trovato:
- Selettori personalizzati o casuali (es.
campagna-2024-q3) - Selettori generati dinamicamente (hash, UUID, token Amazon SES)
- Selettori pubblicati su un sottodominio di invio o di bounce (es.
bounce.tuodominio.com,mail.tuodominio.com). Per questi, rilancia la scoperta sul sottodominio interessato, oppure leggi ild=e ils=nell'header di un'email partita da quel flusso.
Per questi casi, la via sicura resta l'header DKIM-Signature di un'email ricevuta (vedi sopra).
Insidie dietro un record «non trovato»
Un selettore noto può esistere senza rispondere correttamente. Prima di concludere che manchi DKIM, verifica queste cause frequenti:
- CNAME non ancora propagato: molti provider (Microsoft 365, SendGrid, Brevo, Amazon SES) pubblicano la chiave tramite un
CNAMEche punta alla loro infrastruttura. Finché la delega non è propagata, o se è stata rimossa, la risoluzione fallisce. - Chiave revocata: un record presente ma con un valore
p=vuoto significa che la chiave è stata revocata (RFC 6376). Il selettore esiste, ma la chiave è morta. È normale durante una rotazione, sospetto se la cosa si protrae. - Record diviso o troncato: una chiave 2048 bit supera il limite di 255 ottetti di una stringa TXT e deve essere suddivisa in più segmenti concatenati. Una suddivisione errata rende la chiave non valida.
- Selettore su un altro dominio: il tag
d=della firma può puntare a un sottodominio o a un dominio di invio distinto. La chiave non si trova quindi sotto il tuo apex.
Comprendere la robustezza della chiave di un selettore
Trovare il selettore è solo metà del lavoro: serve anche che la chiave sia solida. Per ogni selettore scoperto, lo strumento decodifica la chiave pubblica e ne deduce il tipo e la lunghezza.
| Chiave | Verdetto | Da ricordare |
|---|---|---|
| RSA 1024 bit | Debole, da ruotare | Accettata oggi ma a fine vita; pianifica il passaggio a 2048 |
| RSA 2048 bit | Consigliata | Lo standard pratico in produzione |
| RSA 4096 bit | Robusta | Resistente; verifica il record multi-segmento |
| Ed25519 (256 bit) | Robusta, interop limitata | Vedi la nota qui sotto |
Le chiavi RSA molto corte sono un'altra storia: 512 bit si fattorizza in poche ore e 768 bit è stato violato pubblicamente già nel 2009 (Red Sift). Lì si parla di chiavi violate, da non confondere mai con i 1024 bit, semplicemente deboli e da ruotare.
Ed25519 produce una chiave fissa di 256 bit, crittograficamente robusta, ma la sua interoperabilità è limitata: secondo i test di Red Sift, Gmail, Microsoft 365 e Yahoo non validano (o rifiutano) le firme Ed25519. In pratica, pubblica Ed25519 in parallelo a una chiave RSA 2048, mai da sola.
Lo strumento segnala anche due stati da sorvegliare: una chiave revocata (p= vuoto) lasciata nel DNS, e un selettore in modalità test (t=y) spesso dimenticato dopo la messa in produzione, che fa trattare il messaggio come non firmato.
Quale strumento per cosa?
La scoperta di selettori è il primo passo quando non conosci il termine «selettore» né il valore da inserire. Ti fornisce la lista dei selettori attivi. Per andare oltre:
- Non conosci alcun selettore → inizia da qui, dalla scoperta. Lo strumento traccia l'inventario dei selettori e dei provider attivi.
- Hai un selettore preciso da ispezionare → passa al DKIM Checker per analizzarne la chiave, la validità e la configurazione nel dettaglio.
- Hai un'email a portata di mano → l'Analizzatore di header email estrae direttamente il
s=e ild=della firma, senza indovinare. - Stai preparando una nuova chiave → il Generatore DKIM crea una coppia RSA o Ed25519 pronta da pubblicare.
FAQ - Domande frequenti
D: Cos'è un selettore DKIM?
R: Un selettore DKIM è un identificatore che permette di localizzare la chiave pubblica DKIM nel DNS. Viene pubblicato all'indirizzo selettore._domainkey.tuodominio.com. Ogni provider email utilizza il proprio selettore, il che consente di avere più firme DKIM attive contemporaneamente.
D: Come trovare i miei selettori DKIM senza inviare un'email?
R: Questo strumento sonda il DNS: testa un catalogo di nomi di selettore noti direttamente sulla tua zona, senza inviare alcuna email. Rileva prima i tuoi provider tramite gli MX per dare priorità ai selettori giusti. Se non emerge nulla, il percorso più affidabile resta leggere il tag s= nell'header DKIM-Signature di un'email che hai ricevuto da quel dominio.
D: Quali sono i selettori DKIM predefiniti dei principali provider?
R: Google Workspace usa google. Microsoft 365 usa selector1 e selector2. SendGrid usa s1 e s2. Mailchimp usa k1, k2 e k3. Brevo usa brevo1 e brevo2. Amazon SES Easy DKIM pubblica token casuali in CNAME (nessun selettore fisso). Sono valori comuni, non garanzie. Consulta la tabella dei provider qui sopra.
D: È possibile verificare DKIM senza conoscere il selettore?
R: Sì, è esattamente ciò che fa questo strumento. A differenza dei DKIM checker classici che richiedono un selettore, testa automaticamente i nomi noti nel DNS, tenendo presente che un selettore personalizzato può sfuggire a questa lista.
D: Cosa significa «selettore DKIM non trovato»?
R: Nessun record TXT risponde per i nomi testati. Questo non prova l'assenza di DKIM: il DNS non permette di enumerare i selettori di una zona (RFC 6376), lo strumento testa solo una lista di nomi noti. Cause possibili: selettore personalizzato assente dal catalogo, CNAME non ancora propagato, chiave revocata (p= vuoto), oppure DKIM realmente non configurato. Per fugare ogni dubbio, leggi l'header DKIM-Signature di un'email ricevuta.
D: Lo strumento può trovare tutti i selettori DKIM?
R: No, e nessuno strumento può farlo. I selettori personalizzati o generati dinamicamente (hash, UUID, token casuali) non verranno rilevati. Per questi casi, leggi l'header DKIM-Signature di un'email ricevuta (tag s=) oppure interroga direttamente il selettore con dig TXT selettore._domainkey.tuodominio.com.
Strumenti complementari
| Strumento | Utilità |
|---|---|
| DKIM Checker | Analizzare un selettore DKIM specifico in profondità |
| Verificatore di sintassi DKIM | Validare la sintassi di un record DKIM prima della pubblicazione |
| Generatore DKIM | Generare coppie di chiavi DKIM (RSA/Ed25519) |
| Audit di deliverability | Verificare SPF, DKIM, DMARC e MX di un dominio |
| Ispettore DMARC | Testare la tua policy DMARC |
| Analizzatore di header email | Estrarre i selettori DKIM da un'email ricevuta |
Risorse utili
- RFC 6376 - DKIM Signatures (specifica ufficiale)
- RFC 8463 - Ed25519 per DKIM (firme Ed25519)
- Google - Configurare DKIM (guida Google Workspace)
- Microsoft - DKIM in Exchange Online (guida Microsoft 365)