DKIM sleutelrotatie

DKIM sleutelrotatie is het proces van het bijwerken van uw DKIM sleutels. U moet uw sleutels periodiek roteren - de exacte periode is niet belangrijk, maar het proces zelf wel. Waarom moet u het doen? Het roteren van sleutels betekent het aanmaken van nieuwe sleutels en het bijwerken van DNS records met die nieuwe sleutels. Het doel van het roteren van uw DKIM keys is vergelijkbaar met het regelmatig wijzigen van wachtwoorden: het is een veiligheidsmaatregel die voorkomt dat aanvallers zich voordoen als uw domein en spam of phishing emails versturen.

Laten we eens kijken waarom u DKIM sleutels gebruikt.

Waarom gebruikt u DKIM sleutels?

DKIM staat voor DomainKeys Identified Mail. Het is een manier om een extra beveiligingslaag toe te voegen aan uw email server zodat uw emails niet als spam worden aangemerkt en in spam folders terecht komen. DKIM kunt u het beste zien als een versleutelde identificatiecode die aan uw berichten wordt gekoppeld, zodat de ontvangers kunnen controleren of het bericht daadwerkelijk door u is verzonden, de persoon van wie het bericht afkomstig zou moeten zijn. Deze identificatiecode, of sleutel, is wat hen in staat stelt om dat te verifiëren.

Hoe werkt DKIM?

DKIM werkt door deze identificatiecode toe te voegen aan elke e-mail die wordt verzonden. Wanneer iemand zo'n e-mail ontvangt, kan hij in de header of footer van het bericht een reeks cijfers en letters vinden, die de gecodeerde identificatiecode of DKIM-sleutel is. Voordat een e-mail naar de ontvanger wordt gestuurd, ondertekent de e-mailserver van de afzender elke e-mail met een digitale handtekening, die vervolgens door de ontvangende e-mailserver wordt gevalideerd. Dit proces bewijst dat er niet met de e-mail is geknoeid of dat deze op geen enkele manier is gewijzigd. 

Wanneer u uw e-mail verzendt, wordt de handtekening als een header aan het einde van het bericht toegevoegd. Servers van ontvangers gebruiken publieke sleutels (door domeineigenaren verstrekt via DNS-records) om deze handtekeningen te ontcijferen en te verifiëren.

Waarom is DKIM sleutelrotatie belangrijk voor de veiligheid van uw domein?

DKIM sleutelrotatie is wanneer u een nieuw privaat/publiek sleutelpaar gaat gebruiken om uw berichten te ondertekenen en te authenticeren, en vervolgens het oude privaat/publiek sleutelpaar niet meer gebruikt.

Waarom is dit belangrijk? Wel, als iemand toegang zou kunnen krijgen tot uw private sleutel, dan zou hij deze kunnen gebruiken om frauduleuze emails te versturen die van u afkomstig lijken te zijn! Om dit soort kwaadwillige activiteiten te voorkomen, is het het beste om uw sleutels om de paar maanden te roteren.

Om het belang van DKIM sleutelrotatie beter te begrijpen, laten we dit voorbeeld eens bekijken: 

Stel, u verstuurt een e-mail campagne voor de feestdagen uitverkoop in uw winkel. U gebruikt uw DKIM sleutels om uw e-mails te ondertekenen, maar als u in de loop der tijd genoeg e-mails verstuurt met hetzelfde sleutelpaar, kunnen kwaadwillenden er uiteindelijk één onderscheppen en decoderen, omdat elk bericht hetzelfde cryptografische hash-algoritme gebruikt. Als ze eenmaal uw publieke sleutel hebben, kunnen ze hun phishing emails ermee ondertekenen zonder dat u het weet! Daarom is periodieke sleutelrotatie bij DKIM van cruciaal belang voor de beveiliging van uw domein.

Hoe kunt u uw DKIM sleutels roteren?

1. Handmatige DKIM sleutelrotatie

U kunt uw DKIM sleutels van tijd tot tijd handmatig roteren door nieuwe sleutels voor uw domein aan te maken. Volg deze stappen om dit te doen: 

  • Ga naar onze gratis DKIM record generator tool
  • Voer de gegevens van uw domein in en voer de gewenste DKIM selector naar keuze in 
  • Druk op de "Genereer" knop 
  • Kopieer uw gloednieuwe paar DKIM sleutels 
  • De publieke sleutel moet worden gepubliceerd op uw DNS, ter vervanging van uw vorige record
  • De private sleutel moet worden gedeeld met uw ESP (als u uw e-mails uitbesteedt) of worden geüpload naar uw e-mailserver (als u de e-mailoverdracht op uw eigen locatie afhandelt) 

2. Subdomein DKIM sleutel delegatie

Domeineigenaren kunnen DKIM sleutelrotatie uitbesteden door een derde partij dit voor hen te laten doen. In dat geval delegeert de eigenaar van het domein een speciaal subdomein aan een e-mail leverancier en vraagt deze om namens hem een DKIM sleutelpaar te genereren. Op deze manier kunnen eigenaren het gedoe van DKIM sleutelrotatie omzeilen door de verantwoordelijkheid uit te besteden aan een derde partij. 

Dit kan echter leiden tot policy override problemen met DMARC entries. Het wordt aanbevolen dat geroteerde sleutels door domeincontrollers worden gecontroleerd en nagekeken om een vlotte en foutloze inzet te garanderen. 

3. DKIM CNAME-sleuteloverdracht

CNAME staat voor canonical name, en zijn DNS-records die worden gebruikt om te verwijzen naar gegevens van een extern domein. Met CNAME-delegatie kunnen domeineigenaren verwijzen naar DKIM-recordgegevens die door een externe derde worden onderhouden. Dit is vergelijkbaar met subdomein delegatie omdat de domeineigenaar alleen een paar CNAME records op zijn DNS hoeft te publiceren, terwijl de DKIM infrastructuur en DKIM sleutel rotatie dan door de derde partij wordt afgehandeld waar het record naar verwijst. 

Bijvoorbeeld, 

"domain.com" is het domein van waaruit de e-mails moeten worden ondertekend, en "third-party.com" is de leverancier die het ondertekeningsproces zal afhandelen. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Het bovengenoemde CNAME record moet worden gepubliceerd in de DNS van de domeineigenaar. 

Nu, s1.domain.com.third-party.com heeft al een DKIM record gepubliceerd op zijn DNS dat kan zijn: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Deze informatie zal worden gebruikt om e-mails afkomstig van domain.com te ondertekenen. 

Note: U moet meerdere meerdere DKIM records (aanbevolen: ten minste 3 CNAME records) met verschillende selectors op uw DNS om DKIM sleutelrotatie mogelijk te maken. Hierdoor kan uw leverancier wisselen tussen sleutels tijdens het ondertekenen en heeft hij alternatieve opties.

4. Automatische DKIM sleutelrotatie

De meeste e-mail leveranciers en derde partij e-mail service providers maken automatische DKIM sleutelrotatie mogelijk voor klanten. Als u bijvoorbeeld Office 365 gebruikt voor het routeren van uw e-mails, dan zult u blij zijn te weten dat Microsoft automatische DKIM sleutelrotatie ondersteunt voor hun Office 365 gebruikers. 

In onze kennisbank vindt u een uitgebreid document over hoe u DKIM key rotation kunt inschakelen voor uw Office 365 e-mails. 

Voordelen van het automatisch roteren van uw DKIM sleutels

  • U hoeft zelf niets te doen als uw leverancier automatische rotatie van DKIM sleutels toestaat. Alles wordt door hen beheerd. 
  • Handmatige configuraties zijn vatbaar voor menselijke fouten.
  • De automatische sleutelomwenteling is snel en doeltreffend en vereist geen tussenkomst van uw kant. 
  • Het DKIM beheersysteem is volledig uitbesteed en wordt door een derde partij beheerd.

Een DKIM sleutelrotatiestrategie implementeren

Wij noemen het de "3 D's van DKIM sleutelrotatie":

  • Bespreek 
  • Beslis
  • Zet in. 

Dit is de samenvatting van een effectieve DKIM sleutelrotatie strategie voor uw domeinen. Als u gebruik maakt van een dienst van derden voor uw emails en uw leverancier verzorgt de rotatie voor u, zorg dan voor een open en transparante discussie over wanneer en hoe vaak u uw sleutels wilt laten roteren. U moet zeggenschap hebben over tijdschema's en de grootte van uw selectiesleutel (of u 1024 bits of 2048 bits wilt gebruiken voor meer veiligheid). 

Zodra de discussiefase voorbij is, moeten u en uw leverancier in onderling overleg beslissen wat uw strategie is en uiteindelijk overgaan tot de implementatie van dezelfde.