Autenticazione email
Verifica e validazione dei record DKIM
Interroga il record TXT selector._domainkey di qualsiasi dominio e valida i tag DKIM, il tipo e la lunghezza della chiave.
Cosa controlla il validatore DKIM?
- Inserisci il selettore DKIM (ad esempio google, default o k1) e il dominio. Lo strumento interroga il record TXT {selector}._domainkey.{dominio} tramite DNS pubblico.
- Il record viene analizzato tag per tag: versione v=DKIM1, tipo di chiave k=, chiave pubblica p=, algoritmi h=, tipi di servizio s= e flag t=, oltre alla lunghezza della chiave decodificata.
- Leggi il verdetto e gli avvisi: record mancante, tag p= vuoto (chiave revocata), chiave debole a 1024 bit o flag t=y vengono spiegati chiaramente.
Tag DKIM da esaminare
Il validatore copre la metà DNS di DKIM: il record con la chiave pubblica. Conferma che esista, analizza ogni tag e segnala chiavi deboli o revocate — non firma né riceve posta al posto tuo.
| Tag | Perché è importante | Esempio |
|---|---|---|
| v=DKIM1 | Tag di versione con cui deve iniziare ogni record DKIM valido | v=DKIM1 |
| k / p | Tipo di chiave e chiave pubblica Base64 usata per verificare le firme | k=rsa; p=MIIBIjANBg… |
| Lunghezza chiave | Dimensione del modulo RSA — le chiavi a 1024 bit sono oggi considerate deboli | 2048 bit |
| t=y | Flag di test: i riceventi trattano le firme come se il dominio non firmasse | t=y |
Quando controllare un record DKIM
Esegui un controllo subito dopo aver aggiunto o modificato il record DNS di un provider di posta. Google Workspace usa di solito il selettore google, Microsoft 365 usa selector1 e selector2, Amazon SES emette tre selettori CNAME casuali, Mailchimp usa k1 (e k2/k3) e SendGrid usa comunemente s1 e s2.
Controlla DKIM quando i messaggi finiscono nello spam o i report DMARC mostrano dkim=fail. Un record mancante o malformato è una delle cause più comuni.
Verifica entrambi i selettori durante la rotazione delle chiavi: i provider pubblicano la chiave nuova su un secondo selettore prima di ritirare la vecchia, ed entrambi devono risolversi finché le firme vecchie sono ancora in transito.
Correggere record DKIM mancanti o non validi
Se non viene trovato alcun record, verifica l'esatta grafia del selettore e che il TXT (o CNAME) sia pubblicato su selector._domainkey.tuodominio.com — un errore molto comune è pubblicarlo sull'apex o duplicare il dominio nel campo host.
Se il record esiste ma non è valido, guarda i tag analizzati: un v=DKIM1 mancante, un valore p= troncato (i pannelli DNS spesso spezzano le chiavi lunghe in più stringhe tra virgolette) o spazi superflui rompono la verifica.
Un tag p= vuoto significa che la chiave è stata revocata di proposito. Il flag t=y indica la modalità test: i riceventi verificano la firma ma non la applicano rigidamente; rimuovilo una volta confermato il rollout.
Selettori, chiavi e rotazione DKIM
DKIM consente al server mittente di firmare ogni messaggio con una chiave privata; i riceventi recuperano la chiave pubblica dal DNS usando il selettore indicato nell'intestazione DKIM-Signature (tag s=). I selettori permettono a un dominio di pubblicare più chiavi contemporaneamente.
La lunghezza conta: le chiavi RSA a 1024 bit sono ancora accettate ma considerate deboli, e la maggior parte dei provider ormai emette chiavi a 2048 bit. Alcuni pannelli DNS richiedono di dividere la lunga stringa Base64 in due frammenti tra virgolette.
Ruota le chiavi pubblicando quella nuova sotto un selettore nuovo, spostando la firma su di essa e solo dopo rimuovendo o revocando il record vecchio. Controllare ogni selettore singolarmente conferma ogni passaggio.
Flusso di autenticazione email
- Conferma i record MX e SPF con il DNS Checker.
- Valida ogni selettore DKIM con cui firmano i tuoi provider.
- Controlla il record TXT _dmarc e la sua policy.
- Ricontrolla dopo ogni migrazione di provider o rotazione delle chiavi.
Validatore DKIM vs dig e intestazioni email
Puoi interrogare il record con dig TXT selector._domainkey.example.com, ma poi devi analizzare i tag e decodificare la lunghezza della chiave da solo. Il validatore lo fa automaticamente e spiega ogni risultato.
Leggere le intestazioni Authentication-Results di un messaggio ricevuto dice se quel messaggio specifico è passato. Il validatore risponde alla domanda a monte: il record pubblicato esiste ed è valido?
Le suite complete di deliverability testano caselle seed e reputazione. Questo strumento copre la base DNS da cui dipende tutto il resto — veloce, gratuito e automatizzabile via API.
Perché usare il validatore DKIM di DN01
- Ricerca per selettore che analizza ogni tag DKIM e riporta tipo e lunghezza della chiave, non solo il TXT grezzo.
- Avvisi chiari per chiavi revocate (p= vuoto), modalità test (t=y) e chiavi deboli a 1024 bit.
- Si integra nel flusso DN01 accanto ai controlli DNS, SPF/TXT e liste nere, con interfaccia in 8 lingue.
FAQ
FAQ del validatore DKIM
Selettori, record TXT nel DNS, lunghezza della chiave e significato dei flag di test o revoca.
Cos'è un selettore DKIM?
Il selettore è l'etichetta indicata nel tag s= dell'intestazione DKIM-Signature del messaggio. Il ricevente lo combina con il tuo dominio per interrogare il record TXT selector._domainkey.tuodominio.com — così un dominio può pubblicare più chiavi di firma contemporaneamente.
Come trovo il mio selettore DKIM?
Apri un messaggio inviato e guarda l'intestazione DKIM-Signature: il tag s= è il selettore. Valori comuni: google per Google Workspace, selector1/selector2 per Microsoft 365, k1 per Mailchimp e s1/s2 per SendGrid. Puoi confermare che il TXT esista con il DNS Checker.
Perché il mio record DKIM non è valido?
Cause frequenti: tag v=DKIM1 mancante, valore p= troncato dopo una divisione errata della chiave lunga nel pannello DNS, virgolette o spazi superflui, oppure record pubblicato sull'hostname sbagliato. Il validatore analizza ogni tag e indica il problema esatto.
Cosa significa t=y in un record DKIM?
È il flag di test: i riceventi verificano la firma ma trattano i fallimenti come se il messaggio non fosse firmato. Va bene durante il rollout, ma rimuovilo quando i report DMARC mostrano DKIM superato in modo costante.
Chiave DKIM a 1024 o 2048 bit?
Usa 2048 bit. Le chiavi RSA a 1024 bit vengono ancora verificate ma sono considerate deboli, e i grandi provider ormai emettono 2048 bit di default. Se il pannello DNS rifiuta il valore lungo, dividi la stringa Base64 in due frammenti tra virgolette.
Un dominio può avere più selettori DKIM?
Sì, e di solito dovrebbe. Ogni provider di posta firma con il proprio selettore, e la rotazione delle chiavi si basa sulla pubblicazione della chiave nuova sotto un selettore nuovo prima di revocare la vecchia. Valida ogni selettore separatamente.
Cambio strumento
Continua con un altro controllo
Scegli il passo successivo nel tuo flusso di lavoro su dominio o sicurezza.
- Controllo DNSTutti i principali tipi di record in un solo passaggioApri
- DIGUn tipo di record, risposta stile resolverApri
- WHOISRegistrar, scadenza e stato del dominioApri
- Trova IP dominioIP A e AAAA di un dominioApri
- Controllo lista neraReputazione DNSBL per IP e dominioApri
- Controllo certificato SSLCatena certificati, SAN e versione TLSApri
- Tester HTTP/2Supporto HTTP/2, ALPN e TLSApri
- Controllo intestazioni HTTPIntestazioni di risposta, redirect e cachingApri
- Convertitore PunycodeUnicode ↔ Punycode per domini IDNApri
- Calcolatore IPCalcolo subnet per CIDR IPv4 e IPv6Apri
- BIN CheckerBrand, banca e paese della carta dal BIN/IINApri
- Codec Base64Codifica e decodifica testo Base64Apri
- Generatore passwordPassword casuali sicure per il lavoro operativoApri
- Generatore di passphraseFrasi casuali memorabili per test sicuriApri
Articoli correlati
Guide pratiche per le attività più comuni con Validatore DKIM: record DNS, passaggi di risoluzione problemi e link ai nostri strumenti gratuiti.
DKIM selector, what is DKIM selector, selector._domainkey
DKIM Selector Explained: How selector._domainkey Works
What a DKIM selector is, where it appears in DNS, and why mail providers use different selectors for signing keys.
Leggi articolo →find DKIM selector, DKIM selector lookup, Google Workspace DKIM selector
How to Find Your DKIM Selector
Practical places to find DKIM selectors in Google Workspace, Microsoft 365, Amazon SES, Mailchimp, SendGrid and email headers.
Leggi articolo →DKIM p tag, DKIM public key, DKIM TXT p=
DKIM p= Tag: Public Key Checks That Matter
How to read the DKIM p= public key tag, why empty p= revokes a key, and what truncated DNS TXT records look like.
Leggi articolo →DKIM 1024 vs 2048, DKIM key length, weak DKIM key
DKIM 1024 vs 2048 Bit Keys: What to Use
Why 2048-bit DKIM keys are preferred, when 1024-bit keys still appear, and how key length affects DNS TXT records.
Leggi articolo →DKIM t=y, DKIM testing mode, DKIM flags
DKIM t=y Testing Mode: When to Remove It
What the DKIM t=y flag means, why it is useful during rollout, and why it should not stay forever.
Leggi articolo →rotate DKIM keys, DKIM key rotation, multiple DKIM selectors
How to Rotate DKIM Keys Safely
A safe workflow for publishing a new selector, switching signing, waiting out TTL, and retiring the old DKIM key.
Leggi articolo →Google Workspace DKIM, google DKIM selector, Gmail DKIM record
Google Workspace DKIM Check: Selector and TXT Record
How Google Workspace DKIM records are named, what the google selector means, and how to troubleshoot missing or invalid records.
Leggi articolo →Microsoft 365 DKIM selector1 selector2, Office 365 DKIM, M365 DKIM CNAME
Microsoft 365 DKIM: selector1 and selector2 Explained
Why Microsoft 365 uses selector1 and selector2, how CNAME-based DKIM publishing works, and what to check when validation fails.
Leggi articolo →