DKIM sleutelrotatie uitgelegd

Blog

DKIM sleutelrotatie is het proces van het bijwerken van uw DKIM sleutels. U moet uw sleutels regelmatig roteren - de frequentie is niet belangrijk, wel het proces.

door YunesTarada

Leestijd: 5 min
DKIM sleutelrotatie uitgelegd
Inhoudsopgave-

DKIM sleutelrotatie is het proces van het bijwerken van uw DKIM sleutels. U moet uw DKIM-sleutels regelmatig roteren - de exacte periode is niet belangrijk, maar het proces zelf wel. Waarom moet u dit doen? Het roteren van sleutels verwijst naar het aanmaken van nieuwe sleutels en het bijwerken van DNS records met deze nieuwe sleutels. Het doel van het roteren van uw DKIM-sleutels is vergelijkbaar met waarom u uw wachtwoorden regelmatig wijzigt: het is een beveiligingsmaatregel die helpt voorkomen dat aanvallers zich voordoen als uw domein en spam of phishing e-mails versturen.

Laten we eens kijken waarom je DKIM-sleutels gebruikt.

Belangrijkste opmerkingen

  1. DKIM verifieert de authenticiteit van e-mail met een versleutelde identificatie, waardoor geknoei wordt voorkomen.
  2. Het regelmatig roteren van DKIM-sleutels beschermt tegen aanvallers die gestolen sleutels gebruiken voor fraude.
  3. DKIM-sleutels kunnen handmatig worden geroteerd, worden gedelegeerd aan derden of worden geautomatiseerd door e-mailproviders.
  4. Het niet roteren van sleutels verhoogt het risico op phishing en spam door gecompromitteerde sleutels.
  5. Een goede strategie omvat het bespreken van schema's, het beslissen over sleutelgroottes en het inzetten van het rotatieproces.

Waarom gebruik je DKIM-sleutels?

DKIM staat voor DomainKeys Identified Mail. Het is een manier om een extra beveiligingslaag aan uw e-mailserver toe te voegen zodat uw e-mails niet als spam worden aangemerkt en in spammappen terechtkomen. De beste manier om DKIM te zien is als een gecodeerde identificatie die aan uw berichten wordt gekoppeld, zodat ontvangers kunnen verifiëren dat het bericht daadwerkelijk door u is verzonden, de persoon van wie het bericht beweert te komen. Met deze identificatie, of sleutel, kunnen ze dat verifiëren.

Hoe werkt DKIM?

DKIM werkt door deze identificatie toe te voegen aan elke e-mail die wordt verzonden. Wanneer iemand een van deze e-mails ontvangt, kan hij de kop- of voettekst van het bericht controleren en een reeks cijfers en letters vinden, die de gecodeerde identificatie of DKIM-sleutel is. Voordat een e-mail naar de ontvanger wordt gestuurd, ondertekent de e-mailserver van de afzender elke e-mail met een digitale handtekening, die vervolgens wordt gevalideerd door de ontvangende e-mailserver. Dit proces bewijst dat er op geen enkele manier met de e-mail is geknoeid of deze is gewijzigd. 

Wanneer u uw e-mail verstuurt, wordt de handtekening als header aan het einde van het bericht toegevoegd. Ontvangende servers gebruiken openbare sleutels (geleverd door domeineigenaren via DNS-records) om deze handtekeningen te decoderen en te verifiëren.

Waarom het roteren van DKIM-sleutels belangrijk is voor de beveiliging van uw domein

DKIM-sleutels roteren is wanneer u een nieuw privaat/publiek sleutelpaar gaat gebruiken om uw bericht te ondertekenen en te verifiëren, en dan stopt met het gebruik van het oude privaat/publieke sleutelpaar.

Waarom is dit belangrijk? Nou, als iemand toegang zou krijgen tot je privésleutel, dan zou hij die kunnen gebruiken om frauduleuze e-mails te versturen die van jou afkomstig lijken te zijn! Om dit soort kwaadaardige activiteiten te voorkomen, is het de beste gewoonte om DKIM-sleutels om de paar maanden te roteren.

Om het belang van DKIM sleutelrotatie beter te begrijpen, laten we eens kijken naar dit voorbeeld: 

Stel, je verstuurt een e-mailcampagne voor een uitverkoop in je winkel. U gebruikt uw DKIM-sleutels om uw e-mails te ondertekenen, maar als u na verloop van tijd genoeg e-mails verstuurt met hetzelfde sleutelpaar, kunnen kwaadwillenden uiteindelijk een van de e-mails onderscheppen en decoderen, omdat elk bericht hetzelfde cryptografische hash-algoritme gebruikt. Als ze eenmaal je publieke sleutel hebben, kunnen ze hun phishing e-mails ermee ondertekenen zonder dat je het weet! Daarom is periodieke DKIM sleutelrotatie cruciaal voor de beveiliging van uw domein.

Vereenvoudig DKIM met PowerDMARC!

15 dagen op proefBoek een demo

Hoe kun je je DKIM-sleutels roteren?

1. Handmatige DKIM-sleutelrotatie

U kunt uw DKIM-sleutels van tijd tot tijd handmatig roteren door nieuwe sleutels voor uw domein aan te maken. Volg deze stappen om dat te doen: 

  • Ga naar onze gratis DKIM record generator tool
  • Voer de gegevens van uw domein in en voer de gewenste DKIM-selector in 
  • Druk op de knop "Genereren 
  • Kopieer uw gloednieuwe DKIM-sleutels 
  • De openbare sleutel moet worden gepubliceerd op uw DNS, ter vervanging van uw vorige record
  • De privésleutel moet worden gedeeld met je ESP (als je je e-mails uitbesteedt) of worden geüpload op je e-mailserver (als je de e-mailoverdracht ter plekke afhandelt). 

2. Subdomein DKIM-sleuteldelegatie

Domeineigenaren kunnen het roteren van DKIM-sleutels uitbesteden door een derde partij dit voor hen te laten doen. Dit is wanneer de eigenaar van het domein een specifiek subdomein delegeert aan een e-mailleverancier en hen vraagt om namens hen een DKIM-sleutelpaar te genereren. Op deze manier kunnen eigenaars het gedoe van DKIM-sleutelrotatie omzeilen door de verantwoordelijkheid uit te besteden aan een derde partij. 

Dit kan echter problemen veroorzaken met het overschrijven van beleidsregels met DMARC-vermeldingen. Het wordt aanbevolen om geroteerde sleutels te bewaken en te controleren door domeincontrollers om een soepele en foutloze implementatie te garanderen. 

3. DKIM CNAME-sleuteldelegatie

CNAME staat voor canonieke naam en zijn DNS-records die worden gebruikt om te verwijzen naar gegevens van een extern domein. Met CNAME-delegatie kunnen domeineigenaren verwijzen naar DKIM-recordinformatie die wordt onderhouden door een externe derde partij. Dit is vergelijkbaar met subdomeindelegatie omdat de domeineigenaar alleen een paar CNAME-records op zijn DNS hoeft te publiceren, terwijl de DKIM-infrastructuur en DKIM-sleutelrotatie dan worden afgehandeld door de derde partij waarnaar de record verwijst. 

Bijvoorbeeld, 

"domain.com" is het domein van waaruit e-mails moeten worden ondertekend en "third-party.com" is de leverancier die het ondertekeningsproces zal afhandelen. 

s1._domainkey.domein.com CNAME s1.domein.com.derden.com

Het bovengenoemde CNAME-record moet worden gepubliceerd in het DNS van de domeineigenaar. 

Nu heeft s1.domain.com.third-party.com al een DKIM record gepubliceerd op zijn DNS dat kan zijn: s1.domein.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Deze informatie wordt gebruikt om e-mails te ondertekenen die afkomstig zijn van domain.com. 

Opmerking: U moet meerdere DKIM-records (aanbevolen: ten minste 3 CNAME-records) met verschillende selectors op uw DNS om DKIM-sleutelrotatie mogelijk te maken. Hierdoor kan uw leverancier tijdens het ondertekenen wisselen tussen sleutels en heeft hij alternatieve opties.

4. Automatische DKIM-sleutelrotatie

De meeste e-mailleveranciers en externe e-mailserviceproviders maken automatische DKIM-sleutelrotatie voor klanten mogelijk. Als je bijvoorbeeld Office 365 gebruikt voor het routeren van je e-mails, zul je blij zijn om te weten dat Microsoft automatische DKIM-sleutelrotatie ondersteunt voor hun Office 365-gebruikers. 

We hebben een volledig document over het inschakelen van DKIM-sleutelrotatie voor uw Office 365 e-mails op onze kennisbank

Voordelen van het automatisch roteren van uw DKIM-sleutels

  • U hoeft zelf niets te doen als uw leverancier automatische rotatie van DKIM-sleutels toestaat. Alles wordt door hen beheerd. 
  • Handmatige configuraties zijn gevoelig voor menselijke fouten.
  • Automatische toetsrotatie is snel en effectief en vereist geen tussenkomst van jouw kant. 
  • Het DKIM-beheersysteem is volledig uitbesteed en wordt beheerd door een derde partij.

Een DKIM sleutelrotatiestrategie implementeren

We noemen het de "3 D's van DKIM-sleutelrotatie":

  • Bespreek 
  • Beslis op
  • Installeer 

Dit is een samenvatting van een effectieve DKIM sleutelrotatiestrategie voor uw domeinen. Wanneer u gebruik maakt van een externe service voor uw e-mails en uw leverancier de rotatie voor u afhandelt, zorg er dan voor dat u een open en transparante discussie hebt over wanneer en hoe vaak u uw sleutels wilt roteren. U moet inspraak hebben met betrekking tot tijdlijnen en de grootte die u wilt gebruiken voor uw selectiesleutel (of u 1024 bits of 2048 bits wilt gebruiken voor meer veiligheid). 

Zodra de discussiefase voorbij is, moeten jij en je leverancier samen beslissen wat jullie strategie is en uiteindelijk overgaan tot de implementatie ervan.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Wat is een Session Hijacking-aanval?Session Hijacking-aanvalReputatie van e-mailafzenders uitgelegdReputatie van e-mailafzenders uitgelegd