DKIM (DomainKeys Identified Mail) è una tecnica critica di autenticazione email che aiuta a prevenire lo spoofing delle email. Utilizzando DKIM, firmi digitalmente gli header delle tue email con una chiave privata, e il destinatario verifica questa firma usando la tua chiave pubblica, che è memorizzata nei record DNS del tuo dominio. Google Workspace (precedentemente G Suite) sfrutta DKIM per garantire che le email inviate dal tuo dominio siano verificate come provenienti da te e non da uno spammer che finge di essere te.

In questo articolo, approfondiremo come usare Terraform per configurare DKIM per Google Workspace, utilizzando AWS Route 53 per la gestione DNS. Questo approccio è perfetto se stai già gestendo la tua infrastruttura come codice e vuoi automatizzare il processo di creazione dei record DNS per DKIM.

1. Panoramica del Processo DKIM

  • Firma delle Email in Uscita: Google Workspace firma gli header delle email in uscita con una chiave privata. Il proprietario del dominio configura la chiave pubblica come record DNS.
  • Verifica delle Email in Arrivo: Il server email del destinatario recupera la chiave pubblica dal DNS per verificare la firma e assicurarsi che l'email non sia stata manomessa durante il transito.

2. Analisi del Blocco Terraform

a. Variabile Locale per il Record DKIM

locals {
  dkim_record = "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4FbZGvaSuBW9yDhuswEA6S7QRRZlvvS3Rc6xRK92QJ44+IUoobJf+S3VZGSjdv5Jmpu57JGaq1KsObB5DwObvCW6yhJb6rGd0bgXqTzkfHH7sxnkEbDbNEIyUhxuEbUdWE1KtFz0QMb+GMhxC+j+kntpXtVDWugp9lSa7cnkFVho/gRwVkz47QFD1kQjvP9/QraYZo63M5DObFRFF4rDHvBzNTGl6+FC0OkyA49f19iw1+eFtLWu8BpVIn4HxxZWn04i1KHnm1AX9BztBAoVbJ0ZlF1tEJ5eLMPQg5l0BUcSEYi1RcBKTJU+AJ17fGAJEGr7Ft47SJgHdN9XUPH9NwIDAQAB"
}

Qui, il blocco locals definisce una variabile locale dkim_record. Questa variabile memorizza la chiave pubblica DKIM nel formato richiesto per il DNS.

b. Creazione del Record DKIM in Route 53

resource "aws_route53_record" "google_domainkey_TXT" {
  zone_id = aws_route53_zone.domain_com.zone_id
  name    = "google._domainkey"
  type    = "TXT"
  ttl     = 300
  records = [
    replace(local.dkim_record, "/(.{255})/", "$1\"\"")
  ]
}

La funzione replace() è fondamentale per dividere la chiave pubblica in blocchi di 255 caratteri, poiché i server DNS hanno un limite sulla lunghezza di un singolo record TXT.

Conclusione

Usare Terraform per gestire i record DKIM per Google Workspace e AWS Route 53 semplifica il processo di configurazione e manutenzione della tua configurazione di autenticazione email. Automatizzando questo con Infrastructure as Code (IaC), ottieni i vantaggi della riproducibilità, verificabilità e facilità di gestione.