DKIM sleutelrotatie is het proces van het bijwerken van uw DKIM sleutels. U moet uw DKIM-sleutels regelmatig roteren - de exacte periode is niet belangrijk, maar het proces zelf wel. Waarom moet u dit doen? Het roteren van sleutels verwijst naar het aanmaken van nieuwe sleutels en het bijwerken van DNS records met deze nieuwe sleutels. Het doel van het roteren van uw DKIM-sleutels is vergelijkbaar met waarom u uw wachtwoorden regelmatig wijzigt: het is een beveiligingsmaatregel die helpt voorkomen dat aanvallers zich voordoen als uw domein en spam of phishing e-mails versturen.
Laten we eens kijken waarom u DKIM sleutels gebruikt.
Belangrijkste conclusies
- DKIM verifieert de authenticiteit van e-mail met een versleutelde identificatie, waardoor geknoei wordt voorkomen.
- Het regelmatig roteren van DKIM-sleutels beschermt tegen aanvallers die gestolen sleutels gebruiken voor fraude.
- DKIM-sleutels kunnen handmatig worden geroteerd, worden gedelegeerd aan derden of worden geautomatiseerd door e-mailproviders.
- Het niet roteren van sleutels verhoogt het risico op phishing en spam door gecompromitteerde sleutels.
- Een goede strategie omvat het bespreken van schema's, het beslissen over sleutelgroottes en het inzetten van het rotatieproces.
Waarom gebruikt u DKIM sleutels?
DKIM staat voor DomainKeys Identified Mail. Het is een manier om een extra beveiligingslaag toe te voegen aan uw email server zodat uw emails niet als spam worden aangemerkt en in spam folders terecht komen. DKIM kunt u het beste zien als een versleutelde identificatiecode die aan uw berichten wordt gekoppeld, zodat de ontvangers kunnen controleren of het bericht daadwerkelijk door u is verzonden, de persoon van wie het bericht afkomstig zou moeten zijn. Deze identificatiecode, of sleutel, is wat hen in staat stelt om dat te verifiëren.
Hoe werkt DKIM?
DKIM werkt door deze identificatiecode toe te voegen aan elke e-mail die wordt verzonden. Wanneer iemand zo'n e-mail ontvangt, kan hij in de header of footer van het bericht een reeks cijfers en letters vinden, die de gecodeerde identificatiecode of DKIM-sleutel is. Voordat een e-mail naar de ontvanger wordt gestuurd, ondertekent de e-mailserver van de afzender elke e-mail met een digitale handtekening, die vervolgens door de ontvangende e-mailserver wordt gevalideerd. Dit proces bewijst dat er niet met de e-mail is geknoeid of dat deze op geen enkele manier is gewijzigd.
Wanneer u uw e-mail verzendt, wordt de handtekening als een header aan het einde van het bericht toegevoegd. Servers van ontvangers gebruiken publieke sleutels (door domeineigenaren verstrekt via DNS-records) om deze handtekeningen te ontcijferen en te verifiëren.
Waarom het roteren van DKIM-sleutels belangrijk is voor de beveiliging van uw domein
DKIM-sleutels roteren is wanneer u een nieuw privaat/publiek sleutelpaar gaat gebruiken om uw bericht te ondertekenen en te verifiëren, en dan stopt met het gebruik van het oude privaat/publieke sleutelpaar.
Waarom is dit belangrijk? Nou, als iemand toegang zou krijgen tot je privésleutel, dan zou hij die kunnen gebruiken om frauduleuze e-mails te versturen die van jou afkomstig lijken te zijn! Om dit soort kwaadaardige activiteiten te voorkomen, is het de beste gewoonte om DKIM-sleutels om de paar maanden te roteren.
Om het belang van DKIM sleutelrotatie beter te begrijpen, laten we dit voorbeeld eens bekijken:
Stel, u verstuurt een e-mail campagne voor de feestdagen uitverkoop in uw winkel. U gebruikt uw DKIM sleutels om uw e-mails te ondertekenen, maar als u in de loop der tijd genoeg e-mails verstuurt met hetzelfde sleutelpaar, kunnen kwaadwillenden er uiteindelijk één onderscheppen en decoderen, omdat elk bericht hetzelfde cryptografische hash-algoritme gebruikt. Als ze eenmaal uw publieke sleutel hebben, kunnen ze hun phishing emails ermee ondertekenen zonder dat u het weet! Daarom is periodieke sleutelrotatie bij DKIM van cruciaal belang voor de beveiliging van uw domein.
Vereenvoudig DKIM met PowerDMARC!
Hoe kunt u uw DKIM sleutels roteren?
1. Handmatige DKIM sleutelrotatie
U kunt uw DKIM sleutels van tijd tot tijd handmatig roteren door nieuwe sleutels voor uw domein aan te maken. Volg deze stappen om dit te doen:
- Ga naar onze gratis DKIM record generator tool
- Voer de gegevens van uw domein in en voer de gewenste DKIM-selector in
- Druk op de "Genereer" knop
- Kopieer uw gloednieuwe paar DKIM sleutels
- De publieke sleutel moet worden gepubliceerd op uw DNS, ter vervanging van uw vorige record
- De private sleutel moet worden gedeeld met uw ESP (als u uw e-mails uitbesteedt) of worden geüpload naar uw e-mailserver (als u de e-mailoverdracht op uw eigen locatie afhandelt)
2. Subdomein DKIM sleutel delegatie
Domeineigenaren kunnen DKIM sleutelrotatie uitbesteden door een derde partij dit voor hen te laten doen. In dat geval delegeert de eigenaar van het domein een speciaal subdomein aan een e-mail leverancier en vraagt deze om namens hem een DKIM sleutelpaar te genereren. Op deze manier kunnen eigenaren het gedoe van DKIM sleutelrotatie omzeilen door de verantwoordelijkheid uit te besteden aan een derde partij.
Dit kan echter problemen veroorzaken met het overschrijven van beleidsregels bij DMARC-vermeldingen. Het wordt aanbevolen om geroteerde sleutels te bewaken en te controleren door domeincontrollers om een soepele en foutloze implementatie te garanderen.
3. DKIM CNAME-sleuteloverdracht
CNAME staat voor canonical name, en zijn DNS-records die worden gebruikt om te verwijzen naar gegevens van een extern domein. Met CNAME-delegatie kunnen domeineigenaren verwijzen naar DKIM-recordgegevens die door een externe derde worden onderhouden. Dit is vergelijkbaar met subdomein delegatie omdat de domeineigenaar alleen een paar CNAME records op zijn DNS hoeft te publiceren, terwijl de DKIM infrastructuur en DKIM sleutel rotatie dan door de derde partij wordt afgehandeld waar het record naar verwijst.
Bijvoorbeeld,
"domain.com" is het domein van waaruit de e-mails moeten worden ondertekend, en "third-party.com" is de leverancier die het ondertekeningsproces zal afhandelen.
s1._domainkey.domain.com CNAME s1.domain.com.third-party.com
Het bovengenoemde CNAME-record moet worden gepubliceerd in het DNS van de domeineigenaar.
Nu, s1.domain.com.third-party.com heeft al een DKIM record gepubliceerd op zijn DNS dat kan zijn: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."
Deze informatie zal worden gebruikt om e-mails afkomstig van domain.com te ondertekenen.
Opmerking: U moet meerdere DKIM-records (aanbevolen: ten minste 3 CNAME-records) met verschillende selectors op uw DNS om DKIM-sleutelrotatie mogelijk te maken. Hierdoor kan uw leverancier tijdens het ondertekenen wisselen tussen sleutels en heeft hij alternatieve opties.
4. Automatische DKIM sleutelrotatie
De meeste e-mail leveranciers en derde partij e-mail service providers maken automatische DKIM sleutelrotatie mogelijk voor klanten. Als u bijvoorbeeld Office 365 gebruikt voor het routeren van uw e-mails, dan zult u blij zijn te weten dat Microsoft automatische DKIM sleutelrotatie ondersteunt voor hun Office 365 gebruikers.
We hebben een volledig document over het inschakelen van DKIM-sleutelrotatie voor uw Office 365 e-mails op onze kennisbank.
Voordelen van het automatisch roteren van uw DKIM sleutels
- U hoeft zelf niets te doen als uw leverancier automatische rotatie van DKIM sleutels toestaat. Alles wordt door hen beheerd.
- Handmatige configuraties zijn vatbaar voor menselijke fouten.
- De automatische sleutelomwenteling is snel en doeltreffend en vereist geen tussenkomst van uw kant.
- Het DKIM beheersysteem is volledig uitbesteed en wordt door een derde partij beheerd.
Een DKIM sleutelrotatiestrategie implementeren
Wij noemen het de "3 D's van DKIM sleutelrotatie":
- Bespreek
- Beslis
- Zet in.
Dit is de samenvatting van een effectieve DKIM sleutelrotatie strategie voor uw domeinen. Als u gebruik maakt van een dienst van derden voor uw emails en uw leverancier verzorgt de rotatie voor u, zorg dan voor een open en transparante discussie over wanneer en hoe vaak u uw sleutels wilt laten roteren. U moet zeggenschap hebben over tijdschema's en de grootte van uw selectiesleutel (of u 1024 bits of 2048 bits wilt gebruiken voor meer veiligheid).
Zodra de discussiefase voorbij is, moeten u en uw leverancier in onderling overleg beslissen wat uw strategie is en uiteindelijk overgaan tot de implementatie van dezelfde.
- Yahoo Japan beveelt DMARC aan voor gebruikers in 2025 - 17 januari 2025
- MikroTik-botnet maakt gebruik van SPF-foutconfiguraties om malware te verspreiden - 17 januari 2025
- DMARC niet-geverifieerde e-mail is verboden [OPGELOST] - 14 januari 2025