KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più
× Non sei ancora nostro cliente KerioConnect? Diventa Partner CoreTech e visita il nostro configuratore prezzi
× Non sei ancora nostro cliente SmarterMail? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Vai al Video

Kerio e Smartermail - RDNS - DKIM - SPF - DMARC

DNS Secret: cosa c’è da sapere sulla posta elettronica e lo Spam

La posta elettronica è uno dei principali veicoli di comunicazione, ma da tempo è oggetto di attacchi mirati a sfruttarla per comunicazioni indesiderate tra le quali figurano quelle di spam, la pubblicità indesiderata, il phishing e la propagazione dei virus. Conoscere i modi in cui le e-mail vengono scambiate, il funzionamento dell’infrastruttura e quali server e connessioni vengono utilizzate, permette di comprendere le vulnerabilità e come aggirarle.
Scopo di questo tutorial è descrivere alcuni accorgimenti di sicurezza e di protezione dallo spam da adottare nei server e nei client, ma anche spiegare come impostare i sistemi per evitare che le e-mail inviate vengano scambiate per spam.
Infatti col passare del tempo e il costante aumento dello spam, sempre più sistemi di posta implementano nuove politiche di sicurezza e, se prima le e-mail arrivavano senza problemi, oggigiorno anche messaggi di posta “regolari” possono finire nella cartella di spam o essere bloccati solo perché il server che li spedisce non è impostato correttamente.

Le impostazioni coinvolte in questi meccanismi sono:

  • RDNS ovvero il Reverse DNS Lookup dell’indirizzo IP da cui partono le e-mail;
  • SPF Sender Policy Framework, che identifica quali sono gli IP abilitati a spedire e-mail da parte del nostro dominio;
  • DKIM DomainKeys Identified Mail, una chiave pubblica che certifica la mail.

Vediamo nel dettaglio come effettuare le relative impostazioni, nello specifico nei prodotti Kerio Connect e SmarterMail.

Impostazioni RDNS

La risoluzione DNS inversa, meglio nota nella notazione inglese Reverse DNS (RDNS), permette di risalire al nome dell’host connesso ad internet conoscendone l’indirizzo IP; viene utilizzata per verificare la bontà del server di posta in uscita che invia delle e-mail per evitare lo spam.

Da qualche anno i principali provider la adottano e se non avete il DNS configurato in modo corretto, quando inviate delle e-mail verso gli indirizzi ad esso appoggiati vi risponde subito che le e-mail non sono state consegnate perché è fallito l’RDNS.

Dunque, per evitare il rigetto delle e-mail è opportuno innanzitutto avere il server configurato in modo corretto riguardo, proprio, all’RDNS, che in Kerio Connect viene chiamato Internet Hostname e che in SmarterMail è semplicemente il Nome host del server. Questo nome deve avere una corrispondenza tra quello che è stato indicato come nome Host del server (quindi record A che siamo andati a creare nei nostri DNS server per raggiungere i server di posta) e quello che comunicheremo al provider di posta elettronica.
Prendiamo ad esempio il nostro dominio servizioemail.it: il nostro server di posta ha come hostname:

“mail.servizioemail.it”

Pertanto abbiamo creato un record A: mail.servizioemail.it che punta al nostro indirizzo IP pubblico:

85.159.144.170

A questo punto ci serve avere il corrispettivo RDNS, che si ottiene facendo un ping –a del nostro indirizzo IP pubblico, che restituisce come risposta un nome, ossia mail.servizioemail.it.
Tale configurazione la deve fare l’operatore della nostra linea, che sia una server farm, o una semplice ADSL di un qualsiasi operatore.
Questa stringa:

C:\>ping -a 85.159.144.170

corrisponde all’esecuzione di Ping mail.servizioemail.it [85.159.144.170] con 32 byte di dati.
Quindi se facciamo il ping -a di un indirizzo IP ci viene restituito il reverse DNS corrispondente.
Una volta recuperato anche l’RDNS che risponde in modo corretto, il nostro server Kerio Connect o SmarterMail sarà configurato nel modo giusto. Questo è il primo step per non finire in BlackList, dato che ci sono molte BlackList Internet basate sulla corretta configurazione impostazione dell’RDNS e altre che quando si chiede loro il delisting (ossia di essere rimossi da una blacklist nella quale si era finiti per errore) esigono una e-mail che riporti il reverse DNS.
L’impostazione del reverse DNS dev’essere effettuata dal provider di posta elettronica che provvede a generare la vostra posta in uscita; allo scopo, una volta ottenuto il recordA (per esempio il solito A: mail.servizioemail.it) dovete contattare il provider, perché la relativa configurazione la può eseguire solo il provider. In pratica dovete chiedere che il record DNS dell’indirizzo IP pubblico risponda con il nome che gli corrisponde. Ovviamente lo stesso nome dovete averlo pubblicato a livello di DNS.
Questa configurazione si effettua una volta sola per ciascun server di posta, indipendentemente dalla quantità dei domini che vengono creati su di esso; l’immagine seguente propone il caso di SmarterMail.

Le ulteriori configurazioni, ossia DMARC, SPF e DKIM, invece, vanno eseguite per ogni dominio di posta.

Il concetto del reverse DNS si applica anche alla configurazione del server SMTP di Kerio Connect; alla schermata corrispondente si accede cliccando sul solito pulsante a ingranaggio e poi, nel menu di sinistra, su Server SMTP.
Nella tab Opzioni di protezione, tramite le apposite caselle presenti nelle due sezioni, facciamo le impostazioni del caso (immagine seguente).

Nello specifico, accediamo alla sezione Opzioni supplementari dalla quale è possibile attivare alcune opzioni come il blocco nel caso il dominio di posta non sia stato trovato nei server DNS (attenzione che in questo caso possono essere bloccate e-mail provenienti da un dominio di un cliente cui è scaduto e questo impedirebbe l’arrivo, ad esempio, di richieste di nuova attivazione, con la conseguente perdita del contratto...) o quello in caso l’indirizzo IP del client non disponga di voce DNS inversa (PTR); esistono sempre più provider di posta elettronica che utilizzano questo metodo per bloccare le e-mail in ingresso. Questo metodo si aggiunge a quello delle black-list e consente ad un server di posta di scartare a priori le e-mail che arrivano da indirizzi IP senza un Reverse DNS.
Quindi la casella va spuntata solo se il provider invia il Reverse DNS o se a richiesta può modificare il Reverse DNS dell’indirizzo IP che si vuole usare per l’invio della posta elettronica.

In pratica dalla scheda Recapito SMTP stabilite se il server deve inviare le e-mail direttamente o se le deve inviare tramite un servizio di terze parti, anche se avete messo il server nel Cloud, avete la RNDS eccetera, ad esempio perché non volete avere anche l’onere di gestire la situazione in cui le vostre e-mail finiscano in delle black-list.
Notate che se vi appoggiate a un servizio di hosting esterno che già supporta l’RDNS non serve spuntare la casella perché alla gestione del reverse DNS provvede già il provider.
È il caso del servizio di hosting che Coretech mette a disposizione, che già offre il supporto al reverse DNS.

Quanto a SmarterMail, come mostra l’immagine seguente abbiamo la possibilità di impostare il DNS inverso e definire le azioni da intraprendere, come ad esempio alzare il peso in caso di mancanza dell’RDNS, abilitare il blocco per SMTP in ingresso e in uscita, ovvero abilitare per filtri.

La schermata mostrata è accessibile dal pulsante a scudo che si trova nella barra nera verticale a sinistra dello schermo, quindi cliccando sula voce di menu Amministrazione Antispam che appare nella struttura ad albero.

Tool per verifica RDNS e blacklist

Sul web si trovano degli utili tool come quello accessibile da Valli.org (multirbl.valli.org), che permette sia di verificare il reverse DNS, sia di accertare che l’indirizzo IP da cui partono le nostre e-mail non sia finito in qualche blacklist. L’immagine seguente mostra la pagina web corrispondente, nella cui scheda Home quale vedete che ci sono due caselle da compilare.

Nella casella Test scegliamo, dal menu a tendina, il tipo di verifica richiesto (accettiamo il predefinito, che è FCrDNS & DNSBL lookups) e in IPv4IPv6 address or domainname scriviamo l’indirizzo IP corrispondente al server di posta in uscita o direttamente il nome del dominio; cliccando su Send otteniamo un report dettagliato che, per ciascuna blacklist Internet ci dice se il dominio è stato compreso (Listed, evidenziato in azzurro) o se non è stato inserito (Not listed, colore verde). L’immagine seguente vi propone un esempio.

Una cosa interessante da notare è che nella parte di pagina immediatamente sotto le due caselle appare l’esito della verifica RDNS (vedere l’immagine seguente, ovvero nella prima (rDNS for IP …..) ci viene indicato l’hostname corrispondente risolto dall’interrogazione (ON alla destra indica che è stato restituito un reverse DNS) e nella seconda (IP Addresses A or AAA record for nomedominio) appare il’IP address corrispondente con a fianco OK se questo corrisponde effettivamente all’IP che appare nella prima riga, ovvero ci sia un record A valido; nella terza riga abbiamo l’esito positivo (OK) se almeno uno degli IP address correlati al dominio corrisponde.  

http://multirbl.valli.org, oltre a verificare l’RDNS esegue un check su 230 blacklist e e dispone dei il link per andare a fare il delisting nel caso sia rilevata la presenza in una blacklist.

DMARC: che cos’è e come rende sicura la posta

Un’altra impostazione fondamentale è quella del DMARC (Domain-based Message Authentication, Reporting & Conformance) che è un protocollo di autenticazione delle e-mail che grazie alla combinazione di SPF e DKIM comunica ai server di posta elettronica come devono comportarsi quando ricevono una e-mail a nome nostro.

Grazie all'utilizzo del DMARC si certifica che l’e-mail proviene da un mittente sicuro e che il dominio da cui è partita è effettivamente sotto il controllo del suo proprietario o gestore. Questo serve perché le e-mail di Spam non partono solo da domini spammer ma anche da domini e server di posta regolari che vengono hackerati per sfruttarli come spammer, all’insaputa dei proprietari o gestori.
L’immagine seguente schematizza il funzionamento del DMARC.

Partendo dall’alto a sinistra, il server di posta in uscita inserisce nella e-mail il DKIM, quindi il messaggio di posta viene inviato al server di posta destinatario. Qui viene eseguita una serie di test di validazione standard come l’IP Blacklist reputation eccetera, poi parte la validazione DMARC, ossia la verifica della DKIM per i server che la supportano (in questo momento Kerio Connect ancora non la supporta), poi la validazione dell’SPF e poi le policy della DMARC; se tutti i test vengono superati l’e-mail passa e viene consegnata, altrimenti va in quarantena o rifiutata del tutto.

Riepilogando, i funzionamento del DMARC è il seguente:

  • quando la e-mail viene inviata al server di posta in uscita Kerio Connect inserisce il DKIM;
  • il messaggio di posta viene inviato al destinatario;
  • qui viene eseguita una serie di test di validazione standard come l’IP Blacklist reputation, eccetera;
  • viene avviata la validazione DMARC, ossia la verifica della DKIM per i server che la supportano;
  • avviene la validazione dell’SPF.

Il DMARC, inoltre, specifica anche quali azioni intraprendere in caso di mancanza o di errore di uno tra SFP e DKIM (cioè se sono sbagliati o non come previsto), ovvero:

  • se non fare nulla;
  • se mettere il messaggio e-mail in quarantena
  • se cancellare la e-mail ed inviarci un report in merito.

In caso di quarantena o rifiuto, Kerio Connect manda una e-mail di failure oppure un report aggregato (i report sono in formato .xml) dove sono contenuti i record di più eventi; possiamo indicare a Kerio Connect a quali indirizzi e-mail far arrivare le e-mail e ogni quanto tempo farvi arrivare il report aggregato. In questo modo potete sapere quanto spam ricevono gli altri a nome vostro o del vostro dominio.

È consigliabile implementare la DMARC come mostrato nell’immagine seguente, dove vedete (nella seconda riga) la voce pct, che sta per percentuale sulle e-mail cui deve essere applicata.

Si consiglia sempre di applicare il DMARC gradualmente, incrementando il pct ogni settimana di un 10% e di tenere sotto controllo le e-mail di report, così da valutarne l’efficacia; questo perché magari vi siete scordati di inserire l’SPF oppure da qualche altra parte la DKIM e vi tornano indietro un sacco di e-mail contrassegnate come Spam.
È il caso, ad esempio, dell’invio di newsletter piuttosto che di un sito web gestito dal vostro provider che invia le mail tramite un proprio server SMTP e non tramite il vostro.

Per creare i record DMARC potete affidarvi a servizi web come www.unlocktheinbox.com/dmarcwizard/.

Che cos’è l’SPF

L’SPF è un record in formato .txt in cui possiamo indicare quali sono gli IP abilitati a inviare e-mail per conto del vostro dominio, quindi le e-mail arrivano poi al server Kerio, Kerio Connect legge il file SPF e controlla che in esso vi siano gli IP da cui è arrivata la e-mail: se l’IP address combacia, l’e-mail procede per il processo di delivery altrimenti viene segnalata o eventualmente bloccata.

Quella dell’SPF è una configurazione che si effettua solamente lato DNS, pertanto bisogna creare un “semplice” record di testo, comunemente chiamato TXT.
Il nome del record dovrà essere il nome del dominio, o @ in base alla propria gestione DNS.
e come valore dovremo inserire:

v=spf1 ip4:<ip> ~all

Il nostro record sarà quindi:

name: servizioemail.it
TXT: v=spf1 ip4: 85.159.144.170/32 ~all
TTL: 3600

Nel caso abbiate più indirizzi IP tramite i quali il server di posta può uscire, ad esempio lo avete dietro due linee Internet delle quali una è utilizzata come linea di backup, oppure avete un secondo server di posta che invia e-mail a nome del vostro dominio (per esempio un servizio di hosting del sito web presso un provider) ovvero vi appoggiate a un servizio esterno per l’invio di newsletter, la configurazione è comunque possibile: potete infatti inserire più indirizzi IP abilitati a spedire posta elettronica a nome del vostro dominio. Come potete vedere nella stringa seguente, i server di posta abilitati a spedire sono tre:

v=spf1 ip4:85.159.144.215/32 ip4:151.1.252.10/32 ip4:85.159.144.170/32 -all

Per vedere se avete configurato tutto in modo corretto, potete utilizzare il servizio offerto dal sito
www.kitterman.com/spf/validate.html, con il quale potrete verificare la corretta costruzione del vostro record SPF e verificare che sia stato propagato in modo corretto.

Ricordate che questa configurazione va eseguita per ogni dominio che ospitate sul vostro server di posta; per evitare di dover continuare a fare modifiche in caso di cambio di indirizzi IP ecc., i record SPF consentono di includerne altri. Potete quindi andare a creare un record SPF per i vostri clienti che includano il vostro record SPF, in modo da non continuare a riconfigurarlo.
Ecco un esempio di come fare:

v=spf1 include:servizioemail.it ?all

In altre parole, in situazioni di multihosting (che riguardi Kerio Connect o SmarterMail) potete configurare l’SPF sull’indirizzo IP del dominio primario e poi su tutti gli altri domini create il solito record SPF nel quale però andate a indicare di includere gli IP degli host secondari.
Potete verificare il contenuto del record SPF per ogni dominio con servizi web quali Mxtoolbox (www.mxtoolbox.com), che alla pagina https://mxtoolbox.com/t/test/networktoolsdevt?command=spf permette la verifica dell’SPF semplicemente scrivendo nella casella Domain Name il nome del dominio. Ad esempio inserendo servizioemail.it trovate la situazione proposta dall’immagine seguente.

In pratica per il dominio sono riportati sia il record (nel riquadro verde chiaro) contenente tutti gli indirizzi IP corrispondenti, sia la situazione risultante.
In un SPF possiamo predisporre più indirizzi IP per il server di posta e se finiamo in Blacklist ci basta modificare l’IP con cui inviiamo le mail e null’altro; la modifica viene propagata a tutti i domini collegati, il che significa sostanzialmente che non è necessario modificare tutti questi domini ma basta modificare quello principale.
Allo scopo, nella configurazione SPF dei domini secondari ci basta inserire l’istruzione:

v=spf1 include:servizioemail.it -all

con la quale indichiamo all’SPF di includere la configurazione del dominio principale, che in questi caso è servizioemail.it.

Prima di concludere il discorso sull’SPF è il caso di fare una precisazione: nel record corrispondente potete impostare sia l’inclusione di altri domini (quindi metterne più di uno) sia ridirigere verso un altro servizio di posta elettronica: la differenza è che bel primo caso comunichiamo di associare al dominio principale altri domini correlati (con l’istruzione include già descritta), mentre nel secondo indichiamo che vale solo la ridirezione verso il dominio specificato.
Nel seguente record SPF d’esempio ridirigiamo sul server di Gmail.

v=spf1 redirect=spf_gmail.com -all

Gestione SPF in ricezione su Kerio Connect e SmarterMail

Vediamo ora sinteticamente come si gestisce il record SPF nei due programmi, partendo da Kerio Connect, nel quale si accede cliccando sulla voce Filtro spam che si trova nella sezione Filtro contenuti della schermata delle impostazioni accessibile dal pulsante a ingranaggio nella barra azzurra di sinistra. Da questa finestra, visibile nell’immagine che segue, impostate non solo l’attività del filtro anti-spam, ma anche le black list e le white list.

In questa sede ci interessa la scheda SPF, dove per gestire il record occorre spuntare la casella Abilita controllo SPF per ogni messaggio in arrivo e nella sezione Azione risultato SPF negativo definiamo cosa il filtro Spam di Kerio Connect deve fare nel caso sia ricevuto un messaggio di posta elettronica in cui l’SPF sia assente o errato: l’impostazione più comune è Aggiungi punteggio di spam al messaggio scrivendo un valore 5 nella relativa casella, ma potete anche scegliere:

  • Blocca il messaggio, che blocca il recapito della e-mail;
  • Registrato solo nel log di protezione, che si limita ad aggiungere un record al log di protezione relativo all’accaduto.

Considerate che il valore 5, con un punteggio di tag di 5.9 sortisce l’effetto di contrassegnare l’e-mail come spam se già Kerio Connect assegna un punteggio di almeno 1 alla stessa e-mail; se la somma dei punteggi (assegnato e aggiunto) raggiunge quello di blocco, il messaggio non viene recapitato.

Considerate che la gestione dell’SPF è qualcosa che i provider stanno organizzando di recente, ma in generale i grandi provider non gestiscono il record SPF di Kerio Connect, quindi può capitare che comperiate il dominio da loro e poi scopriate che nei DNS non sono mai configurati gli SPF; fa eccezione Google, che lo ha già impostato.

Quanto a SmarterMail, l’impostazione si esegue dalla stessa schermata vista per l’RDNS, accessibile facendo clic sul pulsante a scudo che si trova nella barra nera verticale a sinistra dello schermo, quindi cliccando sula voce di menu Amministrazione Antispam che appare nella struttura ad albero; qui, si seleziona la voce SPF (nell’immagine seguente appare evidenziata in azzurro).

Qui abbiamo la possibilità di definire, per l’SPF, le azioni da intraprendere, come ad esempio alzare il peso in caso di mancanza dell’RDNS, abilitare il blocco per SMTP in ingresso e in uscita, ovvero abilitare per filtri.
Al solito, cliccando sulla zona selezionata si apre la finestra di dialogo dalla quale personalizzare I punteggi in caso di superamento del controllo SPF, di record errato o mancante ecc. (immagine seguente).

DKIM in Kerio Connect e SmarterMail

Il DKIM è un record con il quale si può apporre una firma digitale (la firma DKIM, appunto...) ai messaggi di posta in uscita, allo scopo di lasciar loro passare la protezione anti-spam; dunque, la firma DKIM costituisce una sorta di lasciapassare che certifica che le e-mail contrassegnate con essa non sono Spam. Apponendo il DKIM, quando il server di posta riceve dei messaggi di posta elettronica che contengono il relativo record li accetta incondizionatamente, fatto salvo l’eventuale controllo operato dall’antivirus.

Il record DKIM è una firma apposta alle e-mail, con la quale facciamo sapere al server di posta in arrivo che li riceverà che siamo realmente noi ad inviare il messaggio, inserendo una chiave pubblica in un record DNS di tipo .txt che se corrisponde alla chiave privata inserita nella e-mail, la stessa e-mail, in ricezione, viene considerata attendibile. L’immagine seguente schematizza il procedimento.

In essa vedete che la chiave viene verificata con il server DNS, ragion per cui la DKIM deve venire pubblicata affinché la firma funzioni anche con altri server di posta elettronica; diversamente non funzionerà. L’e-mail viene inviata con la firma al server che la riceve e dal DNS riceve la chiave; se la chiave combacia, l’e-mail viene messa nella posta in arrivo, mentre se la chiave non combacia va nello spam.
L’immagine seguente mostra un esempio di stringa del record DKIM all’interno del DNS.

Sia Kerio Connect che SmarterMail possono inserire una firma digitale; se la configurazione è corretta, nell’header delle e-mail inviate dal nostro dominio troveremo questa dicitura:

DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;

seguita da una chiave pubblica che abbiamo inserito nel nostro record DNS.
Al momento Kerio Connect non supporta la DKIM nella posta in arrivo ma si limita ad apporre la firma DKIM solo alla posta in uscita. Kerio Connect si limita a verificare che la chiave sia stata pubblicata nel DNS e se lo è stata, allora allega la firma DKIM alla e-mail.

Per quanto riguarda Kerio Connect, le impostazioni relative alla DKIM si eseguono dalla schermata di amministrazione, che si apre cliccando, tra i pulsanti della barra azzurra a sinistra dello schermo, su quello a forma di ingranaggio; si accede quindi alla sezione Servizi, che si apre mostrando alla destra della barra con i pulsanti un menu contenente vari comandi. Tra questi clicchiamo su @Domini. In essa vediamo, nel riquadro centrale, i domini disponibili e possiamo modificarli o aggiungerne di nuovi; in ogni caso si accede alla finestra di dialogo per le impostazioni (Aggiungi dominio o Modifica dominio) mostrata nell’immagine seguente.

Nella tab Generale si deve porre il segno di spunta sulla casella Firma i messaggi in uscita da questo dominio con la firma DKIM.
La DKIM funziona inserendo una chiave pubblica in un record DNS di tipo .txt che se corrisponde alla chiave privata inserita nella e-mail, la stessa e-mail, in ricezione, viene considerata attendibile.

Per ottenere la stringa DKIM da inviare al server DNS, nella tab Generale, dopo aver attivato la DKIM, fate clic sul pulsante Visualizza chiave pubblica e la stringa verrà mostrata in un’apposita finestra di notifica.

Notate che siccome la chiave viene generata sulla base di un certificato privato e la Kerio ha un unico certificato per tutti i domini, la chiave sarà uguale per tutti i domini supportati; questo vale se si utilizza il Kerio Mail Server.
Ad ogni modo, dovete copiare la chiave e inviarla al DNS e specificare come nome del record da creare quello che vedete accanto a Record Name. La chiave da copiare è invece quella che segue TXT value.
Per sostituire la chiave si arresta Kerio Connect, si sostituisce la chiave e lo si riavvia.


Per quanto riguarda SmarterMail, invece è possibile avere una chiave privata e una pubblica diversa per ogni dominio. La chiave si inserisce andando in Impostazioni, quindi cliccando su Impostazioni (pulsante con i due ingranaggi che si trova nella barra nera a sinistra dello schermo) e poi cliccando, nella tree omonima che si apre, su Avanzate; nel ramo che si apre si clicca su Firma Mail e si apre così la schermata omonima, nella quale cliccando sulla tab Certificato vi trovate di fronte quanto mostrato nell’immagine seguente.

Qui definite il selettore (che di norma è prestabilito), la dimensione della chiave (potete scegliere 1024 perché la gran parte dei DNS non supporta la dimensione nativa di 2.048 bit della chiave che il certificato privato Kerio genera) e in Nome record TXT scrivete il Record Name ottenuto, quindi copiate la stringa della chiave (TXT value) nella casella Valore record TXT.
Notate che la maggior parte dei server DNS richiede che la firma DKIM sia cifrata a 1.024 bit in quanto a 2.048 risulterebbe troppo lunga e non si riuscirebbe ad inserirla tutta nel campo corrispondente, creando così un errore in fase di validazione; bisogna quindi ricavare, dalla chiave generata da Kerio Connect, una chiave a 1.024 bit.

Per quanto riguarda la modifica della chiave sul DNS, potete affidarvi a servizi web come DKIM Wizard (https://port25.com) che vi mostra la pagina seguente e che permette di adattare la firma DKIM a 2.048 in una a 1.024 bit. Per l’esattezza www.port25.com/dkim-wizard/ permette di creare le DKIM (immagine seguente) secondo le vostre esigenze.

Qui scrivete il nome del dominio (Domain name) e il selettore (DomainKey Selector), quindi selezionate il pulsante d’opzione 1024 in Key size in bits; create quindi la chiave cliccando sul pulsante azzurro CREATE KEYS. In questo modo ottenete in realtà una nuova coppia di chiavi, una pubblica e una privata, ma quella che vi interessa è la chiave privata, che andrete a sostituire a quella generata da Kerio Connect (che è a 2.048 bit).

Copiamo la chiave privata comprensiva di:

—–BEGIN RSA PRIVATE KEY—–
e
—–END RSA PRIVATE KEY—–

In Kerio Connect, dentro la cartella di installazione trovate la cartella SSLCERT\DKIM
ed al suo interno c’è un file private.key; rinominatelo in .old e create un nuovo file private.key inserendo la chiave privata precedentemente generata.
Fatto questo riavviate il servizio Kerio Connect e avrete ora la possibilità di generare la chiave a 1.024 bit.
La chiave pubblica sarà poi la stessa per tutti i domini, presenti su Kerio Connect; cambierà il nome del record che andrete a creare sui vari domini.

Come accennato, il valore del campo TXT sarò lo stesso per tutti di domini presenti su Kerio Connect, mentre il nome del record cambierà in quanto andrà inserito per ogni domini con il nome del dominio corretto.
Potete verificare che la DKIM sia stata creata in modo corretto appoggiandovi a siti web come
http://dkimcore.org/tools/keycheck.html.

Notate che con SmarterMail, che genera una coppia di chiavi differente per ciascun dominio, non è possibile utilizzare un’unica chiave.

Per l’invio ai server DNS sappiate che potete pubblicare tutte le DKIM che volete: basta assegnare a ciascuna un selettore diverso; l’importante è che se avete impostato la verifica della DKIM abbiate anche pubblicato tutte le chiavi DKIM corrispondenti ai vostri server, altrimenti se il server Kerio Connect riceve una e-mail con una DKIM errata o mancante, a seconda di come lo avete impostato può elevare il punteggio di spam della e-mail o rifiutarla del tutto.

Gestione DKIm sulla posta in arrivo

Per quanto riguarda la posta in ingresso, come accennato Kerio Connect non gestisce la verifica della DKIM (è gestita solo in uscita); invece SmartMail prevede tale gestione: come mostra l’immagine seguente, abbiamo la possibilità di impostare il DNS inverso e definire le azioni da intraprendere, come ad esempio alzare il peso (vale a dire il punteggio di spam) in caso di mancanza dell’RDNS, abilitare il blocco per SMTP in ingresso e in uscita, ovvero abilitare per filtri.

La schermata mostrata è accessibile dal pulsante a scudo che si trova nella barra nera verticale a sinistra dello schermo, quindi cliccando sula voce di menu Amministrazione Antispam che appare nella struttura ad albero.

Cliccando sulla riga DNS Inverso accedete alla finestra di dialogo visibile nell’immagine seguente, nella quale potete assegnare pesi distinti per condizione.
Quindi, ad esempio, potete impostare un punteggio negativo in Pass Weight, perché è la situazione corrispondente al test della DKIM superato (cioè l’e-mail contiene la DKIM ed è uguale a quella memorizzata nel server per il dominio da cui proviene) e punteggi positivi personalizzati per le altre situazioni, come ad esempio DKIM mancante, errata ecc. Dalla finestra si può anche impostare la massima dimensione ammessa per la DKIM, ossia il numero di bit.