Configurare DKIM con Google Workspace serve ad autenticare la tua email e proteggere il tuo dominio dallo spoofing. Abbiamo già visto come configurare correttamente SPF sul dominio di Workspace, per identificare i messaggi inviati da server autorizzati. Questa guida si presenta come la prosecuzione di quell’operazione: se non l’hai ancora fatto, procedi prima a configurare SPF, poi torna qui e completa con DKIM.
Google Workspace mette a disposizione una guida completa per la configurazione di DKIM. La guida che trovi in questa pagina è una versione semplificata e già adattata per le scuole della stessa procedura. Chi è meno esperto può trovare qui un percorso più semplice da seguire. Il risultato finale ad ogni modo è lo stesso.
Come per la configurazione di SPF, queste guide prendono come esempio la situazione di Google Workspace for Education con provider di dominio Aruba. La scelta del provider è aleatoria, e serve solo come scusa per indicare procedura precisa e schermate dettagliate della configurazione dei record DNS. Essendo la parte più delicata della procedura, credo sia più utile essere precisi che esaustivi. Per altri provider dovrai adattare alcuni passaggi nella forma: nomi delle voci di menu, grafica e punti esatti su cui cliccare. Non cambia però la sostanza: i passaggi da effettuare e i contenuti dei record che trovi qui indicati restano gli stessi.
Preparati per configurare DKIM: generazione delle chiavi
Per poter configurare DKIM sui record DNS del tuo provider di dominio, devi prima generare una coppia di chiavi DKIM dalla console di amministrazione. Una di queste chiavi rimarrà memorizzata in console, l’altra (la chiave pubblica), andrà inserita nel record DNS indicato più sotto.
- nella console di amministrazione di Workspace vai in App > Google Workspace > Gmail
- scegli Autentica email
- nel menu Dominio selezionato, scegli il dominio principale (se è presente più di un dominio) che attualmente usi per invio/ricezione email
- clicca su Genera nuovo record: scegli lunghezza chiave 2048, e lascia il selettore di prefisso predefinito google, quindi clicca su GENERA
Ora nella schermata di ritorno vengono visualizzati i due valori che dovrai inserire nella gestione DNS del tuo provider: copiali, o tieni a disposizione questa schermata per copiarli tra qualche minuto. Il primo valore indicato è il nome del record TXT che dovrai creare (uguale per tutti), il secondo invece è il valore di quel record, cioè la chiave pubblica generata (specifica per il tuo dominio). Attenzione a copiare bene il secondo: il valore inizia da v=DKIM1; k=rsa; (questa parte è fissa), per continuare poi con una lunga stringa diversa per ognuno. Fai copia/incolla di tutto quanto, e fai attenzione quando incollerai a non rimuovere nemmeno spazi o segni di a capo.
Aggiungi il record DKIM su Aruba
Ora devi creare un nuovo record TXT dal Pannello di controllo del dominio su Aruba. Trovi le indicazioni per accedere e spostarti nella sezione dei record TXT nella guida relativa a SPF, al paragrafo Gestione dei DNS con Aruba. Se arrivi a questa guida dopo aver configurato SPF, sei già nella sezione giusta del pannello di controllo Aruba; diversamente, segui i passaggi là indicati fino ad entrare nella gestione dei record TXT.
Come già fatto per il record SPF, compila i campi in alto:
- nome Host: incolla il primo valore ottenuto da console
- Valore: incolla la chiave pubblica (fai attenzione a copiare/incollare tutto)
- clicca su Aggiungi, quindi su Prosegui in basso
Salva le modifiche ai DNS
La procedura per configurare il record DKIM è quasi al termine, per completare non devi fare altro che salvare le modifiche ai record DNS.
Clicca su Salva configurazione, quindi attendi anche fino a 48 ore prima di vedere il risultato delle modifiche in azione (ed eventualmente fare verifiche o correzioni).
Avvia l’autenticazione da console di Workspace
Trascorso il tempo necessario per la propagazione delle modifiche ai DNS, dovrai tornare nella console di amministrazione per avviare effettivamente l’autenticazione delle email con DKIM. In realtà il tutto potrebbe essere attivo anche molto tempo prima – raramente anche in 20-30 minuti, spesso dopo qualche ora, saltuariamente impiega quasi tutte quelle 48 ore dichiarate. Puoi comunque fare uno o più tentativi: se i primi falliscono, aspetta e riprova fin quando non sarà possibile avviare l’autenticazione con successo.
Nella console di amministrazione torna in App > Workspace > Gmail > Autentica email, seleziona in alto il dominio interessato, e verso il basso clicca su Avvia autenticazione. Se non è passato il tempo sufficiente per la propagazione delle modifiche DNS, comparirà un messaggio di questo tipo:
Oltre al messaggio di errore in rosso, in alto è ancora indicato lo stato non attivo dell’autenticazione, e il tasto Avvia autenticazione è ancora disponibile. Attendi e riprova.
Quando andrà a buon fine, la schermata comparirà invece come questa:
Lo stato, insieme al bottone inferiore che ora è diventato Arresta autenticazione, indicano che l’operazione è avvenuta con successo.
Due note:
- il primo messaggio che continua a dire Devi aggiornare i record DNS… continua a comparire, ma è fuorviante. È un’indicazione generica che dovrebbe scomparire una volta che l’autenticazione è avviata, mentre (forse per piccolo bug) rimane visualizzata. Semplicemente ignorala.
- fai attenzione a non cliccare su Genera nuovo record (anche in caso compaiano messaggi di errore): se lo fai, il record precedente non sarà più valido, e dovrai rifare le modifiche al relativo record DNS sul pannello di controllo di Aruba. Semplicemente non cliccarlo 😉
Ora la configurazione è terminata in tutte le sue parti. Perché diventi efficace, sarà di solito necessario che trascorrano ancora altre ore – si tratta di allineare il riconoscimento dell’autenticazione tra tutti i server coinvolti. Se ancora dopo 48 ore ulteriori persistono problemi o comportamenti anomali, è il caso di verificare, ed eventualmente contattare l’assistenza di Workspace.
Impostare anche DMARC?
La configurazione di SPF e DKIM soddisfa già i requisiti minimi richiesti da Google Workspace per autenticare correttamente i messaggi e prevenire lo spoofing. Per risolvere il ‘problema’ dei punti interrogativi sulle icone utente nelle email, questo basta. Ad ogni modo, anche la configurazione di DMARC è consigliata per la sicurezza della comunicazione, è buona norma procedere anche con quella.
Per configurare DMARC è assolutamente necessario attendere almeno 48 ore dopo aver impostato e verificato SPF e DKIM. Impostarlo prima di questo tempo può comportare problemi anche consistenti nel recapito delle email. Puoi leggere la guida e preparare il terreno, personalmente consiglio di attendere 72 ore per estrema cautela prima di procedere con le nuove modifiche DNS per DMARC.
Puoi configurare DMARC secondo la guida: Configurare DMARC su Google Workspace [guida in preparazione, a breve il link].
Vuoi rimanere aggiornato sui contenuti di questo blog?
Iscriviti alla Newsletter, riceverai un’email alla pubblicazione di ogni nuovo contenuto. Puoi iscriverti con un click, inserendo la tua email nel banner in fondo ad ogni pagina o nella sezione dedicata.