Vai al contenuto
D1
IT

Autenticazione email

Verifica e validazione dei record DKIM

Interroga il record TXT selector._domainkey di qualsiasi dominio e valida i tag DKIM, il tipo e la lunghezza della chiave.

Questo modulo chiama l'endpoint relativo: /site-api/tools/dkim

Cosa controlla il validatore DKIM?

  1. Inserisci il selettore DKIM (ad esempio google, default o k1) e il dominio. Lo strumento interroga il record TXT {selector}._domainkey.{dominio} tramite DNS pubblico.
  2. Il record viene analizzato tag per tag: versione v=DKIM1, tipo di chiave k=, chiave pubblica p=, algoritmi h=, tipi di servizio s= e flag t=, oltre alla lunghezza della chiave decodificata.
  3. Leggi il verdetto e gli avvisi: record mancante, tag p= vuoto (chiave revocata), chiave debole a 1024 bit o flag t=y vengono spiegati chiaramente.

Tag DKIM da esaminare

Il validatore copre la metà DNS di DKIM: il record con la chiave pubblica. Conferma che esista, analizza ogni tag e segnala chiavi deboli o revocate — non firma né riceve posta al posto tuo.

TagPerché è importanteEsempio
v=DKIM1Tag di versione con cui deve iniziare ogni record DKIM validov=DKIM1
k / pTipo di chiave e chiave pubblica Base64 usata per verificare le firmek=rsa; p=MIIBIjANBg…
Lunghezza chiaveDimensione del modulo RSA — le chiavi a 1024 bit sono oggi considerate deboli2048 bit
t=yFlag di test: i riceventi trattano le firme come se il dominio non firmasset=y

Quando controllare un record DKIM

Esegui un controllo subito dopo aver aggiunto o modificato il record DNS di un provider di posta. Google Workspace usa di solito il selettore google, Microsoft 365 usa selector1 e selector2, Amazon SES emette tre selettori CNAME casuali, Mailchimp usa k1 (e k2/k3) e SendGrid usa comunemente s1 e s2.

Controlla DKIM quando i messaggi finiscono nello spam o i report DMARC mostrano dkim=fail. Un record mancante o malformato è una delle cause più comuni.

Verifica entrambi i selettori durante la rotazione delle chiavi: i provider pubblicano la chiave nuova su un secondo selettore prima di ritirare la vecchia, ed entrambi devono risolversi finché le firme vecchie sono ancora in transito.

Correggere record DKIM mancanti o non validi

Se non viene trovato alcun record, verifica l'esatta grafia del selettore e che il TXT (o CNAME) sia pubblicato su selector._domainkey.tuodominio.com — un errore molto comune è pubblicarlo sull'apex o duplicare il dominio nel campo host.

Se il record esiste ma non è valido, guarda i tag analizzati: un v=DKIM1 mancante, un valore p= troncato (i pannelli DNS spesso spezzano le chiavi lunghe in più stringhe tra virgolette) o spazi superflui rompono la verifica.

Un tag p= vuoto significa che la chiave è stata revocata di proposito. Il flag t=y indica la modalità test: i riceventi verificano la firma ma non la applicano rigidamente; rimuovilo una volta confermato il rollout.

Selettori, chiavi e rotazione DKIM

DKIM consente al server mittente di firmare ogni messaggio con una chiave privata; i riceventi recuperano la chiave pubblica dal DNS usando il selettore indicato nell'intestazione DKIM-Signature (tag s=). I selettori permettono a un dominio di pubblicare più chiavi contemporaneamente.

La lunghezza conta: le chiavi RSA a 1024 bit sono ancora accettate ma considerate deboli, e la maggior parte dei provider ormai emette chiavi a 2048 bit. Alcuni pannelli DNS richiedono di dividere la lunga stringa Base64 in due frammenti tra virgolette.

Ruota le chiavi pubblicando quella nuova sotto un selettore nuovo, spostando la firma su di essa e solo dopo rimuovendo o revocando il record vecchio. Controllare ogni selettore singolarmente conferma ogni passaggio.

Flusso di autenticazione email

  1. Conferma i record MX e SPF con il DNS Checker.
  2. Valida ogni selettore DKIM con cui firmano i tuoi provider.
  3. Controlla il record TXT _dmarc e la sua policy.
  4. Ricontrolla dopo ogni migrazione di provider o rotazione delle chiavi.

Validatore DKIM vs dig e intestazioni email

Puoi interrogare il record con dig TXT selector._domainkey.example.com, ma poi devi analizzare i tag e decodificare la lunghezza della chiave da solo. Il validatore lo fa automaticamente e spiega ogni risultato.

Leggere le intestazioni Authentication-Results di un messaggio ricevuto dice se quel messaggio specifico è passato. Il validatore risponde alla domanda a monte: il record pubblicato esiste ed è valido?

Le suite complete di deliverability testano caselle seed e reputazione. Questo strumento copre la base DNS da cui dipende tutto il resto — veloce, gratuito e automatizzabile via API.

Perché usare il validatore DKIM di DN01

  • Ricerca per selettore che analizza ogni tag DKIM e riporta tipo e lunghezza della chiave, non solo il TXT grezzo.
  • Avvisi chiari per chiavi revocate (p= vuoto), modalità test (t=y) e chiavi deboli a 1024 bit.
  • Si integra nel flusso DN01 accanto ai controlli DNS, SPF/TXT e liste nere, con interfaccia in 8 lingue.

FAQ

FAQ del validatore DKIM

Selettori, record TXT nel DNS, lunghezza della chiave e significato dei flag di test o revoca.

Cos'è un selettore DKIM?

Il selettore è l'etichetta indicata nel tag s= dell'intestazione DKIM-Signature del messaggio. Il ricevente lo combina con il tuo dominio per interrogare il record TXT selector._domainkey.tuodominio.com — così un dominio può pubblicare più chiavi di firma contemporaneamente.

Come trovo il mio selettore DKIM?

Apri un messaggio inviato e guarda l'intestazione DKIM-Signature: il tag s= è il selettore. Valori comuni: google per Google Workspace, selector1/selector2 per Microsoft 365, k1 per Mailchimp e s1/s2 per SendGrid. Puoi confermare che il TXT esista con il DNS Checker.

Perché il mio record DKIM non è valido?

Cause frequenti: tag v=DKIM1 mancante, valore p= troncato dopo una divisione errata della chiave lunga nel pannello DNS, virgolette o spazi superflui, oppure record pubblicato sull'hostname sbagliato. Il validatore analizza ogni tag e indica il problema esatto.

Cosa significa t=y in un record DKIM?

È il flag di test: i riceventi verificano la firma ma trattano i fallimenti come se il messaggio non fosse firmato. Va bene durante il rollout, ma rimuovilo quando i report DMARC mostrano DKIM superato in modo costante.

Chiave DKIM a 1024 o 2048 bit?

Usa 2048 bit. Le chiavi RSA a 1024 bit vengono ancora verificate ma sono considerate deboli, e i grandi provider ormai emettono 2048 bit di default. Se il pannello DNS rifiuta il valore lungo, dividi la stringa Base64 in due frammenti tra virgolette.

Un dominio può avere più selettori DKIM?

Sì, e di solito dovrebbe. Ogni provider di posta firma con il proprio selettore, e la rotazione delle chiavi si basa sulla pubblicazione della chiave nuova sotto un selettore nuovo prima di revocare la vecchia. Valida ogni selettore separatamente.

Cambio strumento

Scegli il passo successivo nel tuo flusso di lavoro su dominio o sicurezza.

Catalogo completo strumenti

Guide

Guide pratiche per le attività più comuni con Validatore DKIM: record DNS, passaggi di risoluzione problemi e link ai nostri strumenti gratuiti.

Torna a Validatore DKIM