Lunghezza della chiave di firma DKIM Considerazioni su DKIM Informazioni sulle proprietà della firma DKIM ereditate

Autenticazione delle e-mail con DKIM in Amazon SES

DomainKeys Identified Mail (DKIM) è uno standard di sicurezza delle e-mail progettato per assicurarsi che un'e-mail che afferma di provenire da un dominio specifico sia stata effettivamente autorizzata dal proprietario di quel dominio. Utilizza la crittografia a chiave pubblica per firmare un'e-mail con una chiave privata. I server destinatari possono quindi utilizzare una chiave pubblica pubblicata nel DNS di un dominio per verificare che le parti del messaggio di posta elettronica non siano state modificate durante il transito.

Le firme DKIM sono opzionali. Puoi decidere di firmare le tue e-mail utilizzando una firma DKIM per migliorare la capacità di recapitare i messaggi con gli ISP conformi allo standard DKIM. Amazon SES offre due opzioni per firmare i messaggi utilizzando una firma DKIM:

Easy DKIM: SES genera una coppia di chiavi pubblica-privata e aggiunge automaticamente una firma DKIM per ogni messaggio inviato da tale identità, consulta Easy DKIM in Amazon SES.
BYODKIM (Bring Your Own DKIM): fornisci la tua coppia di chiavi pubblica-privata e SES aggiunge una firma DKIM per ogni messaggio inviato da tale identità, consulta Specifica del proprio token di autenticazione DKIM (BYODKIM) in Amazon SES.
Aggiunta manuale della firma DKIM: aggiungi la tua firma DKIM a ogni e-mail che invii utilizzando l'API SendRawEmail, consulta Firma DKIM manuale in Amazon SES.

Lunghezza della chiave di firma DKIM

Poiché molti provider DNS ora supportano completamente la crittografia DKIM a 2048 bit RSA, Amazon SES supporta anche DKIM 2048 per consentire un'autenticazione più sicura delle e-mail e, quindi, la utilizza come lunghezza predefinita della chiave quando configuri Easy DKIM dall'API o dalla console. Le chiavi a 2048 bit possono essere configurate e utilizzate in BYODKIM (Bring Your Own DKIM), in cui la lunghezza della chiave di firma deve essere di almeno 1024 bit e di massimo 2048 bit.

Per motivi di sicurezza e di recapitabilità della posta elettronica, in caso di configurazione con Easy DKIM, puoi scegliere di utilizzare le lunghezze di chiave a 1024 e 2048 bit insieme alla flessibilità di tornare a 1024 nel caso in cui ci siano problemi causati da provider DNS che ancora non supportano 2048. Nella creazione di una nuova identità, questa verrà creata con DKIM 2048 per impostazione predefinita, a meno che non specifichi 1024.

Per preservare la capacità di recapitare i messaggi di posta elettronica in transito, esistono restrizioni sulla frequenza con cui è possibile modificare la lunghezza della chiave DKIM. Le restrizioni includono le seguenti:

Non è possibile passare alla stessa lunghezza della chiave già configurata.
Non è possibile passare a una lunghezza di chiave diversa più di una volta in un periodo di 24 ore (a meno che non si tratti del primo downgrade a 1024 in quel periodo).

Quando la tua e-mail è in transito, DNS utilizza la tua chiave pubblica per autenticare la tua e-mail; pertanto, se cambi le chiavi troppo rapidamente o frequentemente, il DNS potrebbe non essere in grado di effettuare l'autenticazione DKIM della tua e-mail in quanto la chiave precedente potrebbe già essere invalidata, quindi queste restrizioni impediscono che ciò accada.

Considerazioni su DKIM

Quando utilizzi DKIM per autenticare il tuo indirizzo e-mail, vengono applicate le regole seguenti:

Devi configurare DKIM solo per il dominio che usi nel tuo indirizzo "Da". Non devi configurare DKIM per i domini che utilizzi negli indirizzi "Percorso di ritorno" o "Rispondi a".
Amazon SES è disponibile in diverse regioni AWS. Se utilizzi più di una regione AWS per l'invio di e-mail, devi completare il processo di configurazione di DKIM in ciascuna regione per assicurarti che tutte le tue e-mail siano provviste di firma DKIM.
Poiché le proprietà DKIM vengono ereditate dal dominio padre, quando effettui la verifica di un dominio con autenticazione DKIM:
- L'autenticazione DKIM si applica anche a tutti i sottodomini di quel dominio.
  - Le impostazioni DKIM per un sottodominio consentono di sovrascrivere le impostazioni per il dominio padre, permettendo di disabilitare l'ereditarietà (se non desideri che il sottodominio utilizzi l'autenticazione DKIM) e di riabilitarla in un secondo momento.
- L'autenticazione DKIM si applica anche a tutte le e-mail inviate da un'identità e-mail che fa riferimento al dominio verificato DKIM nel rispettivo indirizzo.
  - Le impostazioni DKIM per un indirizzo e-mail consentono di sovrascrivere le impostazioni per il sottodominio (se applicabile) e il dominio padre, permettendo di disabilitare l'ereditarietà (se desideri inviare e-mail senza l'autenticazione DKIM) e di riabilitarla in un secondo momento.

Informazioni sulle proprietà della firma DKIM ereditate

È importante comprendere innanzitutto che un'identità di indirizzo e-mail eredita le proprietà della firma DKIM dal proprio dominio padre se quest'ultimo è stato configurato con DKIM, indipendentemente dal fatto che sia stato utilizzato Easy DKIM o BYODKIM. Pertanto, la disabilitazione o l'abilitazione della firma DKIM sull'identità dell'indirizzo e-mail, in effetti, sovrascrive le proprietà della firma DKIM del dominio in base a questi fattori chiave:

Se hai già configurato DKIM per il dominio a cui appartiene l'indirizzo e-mail, non è necessario abilitare la firma DKIM anche per l'identità dell'indirizzo e-mail.
- Quando configuri DKIM per un dominio, Amazon SES esegue automaticamente l'autenticazione di ogni e-mail da ogni indirizzo di tale dominio, attraverso le proprietà DKIM ereditate per il dominio padre.
Le impostazioni DKIM per un'identità di indirizzo e-mail specifica sovrascrivono automaticamente le impostazioni del dominio padre o del sottodominio (se applicabile) cui l'indirizzo appartiene.

Poiché le proprietà della firma DKIM dell'identità dell'indirizzo e-mail vengono ereditate dal dominio padre, se prevedi di sovrascriverle, devi tenere presente le regole gerarchiche di sovrascrittura, come spiegato nella tabella seguente.

Firma DKIM disabilitata per il dominio padre	Il dominio padre ha la firma DKIM abilitata
Non è possibile abilitare la firma di DKIM sull'identità dell'indirizzo e-mail.	Puoi disabilitare la firma di DKIM sull'identità dell'indirizzo e-mail.
	Puoi abilitare nuovamente la firma DKIM sull'identità dell'indirizzo e-mail.

In genere non è consigliabile disabilitare la firma DKIM, in quanto rischia di compromettere la reputazione del mittente e aumenta il rischio che la posta inviata venga trasferita nelle cartelle della posta indesiderata o dello spam o che il dominio venga falsificato.

Tuttavia, esiste la possibilità di sovrascrivere le proprietà della firma DKIM ereditate dal dominio sull'identità di un indirizzo e-mail per eventuali casi d'uso particolari o decisioni aziendali esterne per cui sia necessario disabilitare in modo permanente o temporaneo la firma DKIM o abilitarla nuovamente in un secondo momento. Per informazioni, consultare Sovrascrittura della firma DKIM ereditata su un'identità di indirizzo e-mail.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Metodi di autenticazione delle e-mail

Easy DKIM