DomainKeys vs. DKIM: wat is het verschil?
door
Laatst bijgewerkt: 6 leestijd: 6 minuten
Belangrijkste Conclusies
- Yahoo introduceerde DomainKeys in 2004 om de domeinidentiteit van de afzender te verifiëren en vervalste e-mails te verminderen.
- DKIM (DomainKeys Identified Mail) werd gestandaardiseerd door de IETF in RFC 4871 (2007), waarbij Yahoo's DomainKeys en Cisco's Identified Internet Mail werden samengevoegd tot één open standaard.
- Met DKIM kunnen verzenders een gecanoniseerde hash van geselecteerde headers en inhoud ondertekenen, waardoor de integriteit van het bericht wordt gewaarborgd, zelfs als er niet-kritieke wijzigingen (zoals veranderingen in witruimte) plaatsvinden.
- Selectors in DKIM vereenvoudigen sleutelrotatie en staan meerdere sleutels voor verschillende services toe.
- DKIM valideert dat een e-mail is geautoriseerd door het domein dat in de handtekening staat en dat de inhoud niet is gewijzigd tijdens het verzenden.
- DKIM draagt bij aan de afstemmingscontroles van DMARC en helpt domeineigenaren een antispoofingbeleid af te dwingen.
DomainKeys en DKIM zijn twee verwante maar verschillende e-mailverificatietechnologieën die zijn ontworpen om bescherming te bieden tegen spoofing, phishing en spam. DomainKeys, geïntroduceerd door Yahoo in 2004, was de eerste stap in de richting van het valideren van de authenticiteit van de afzender met behulp van cryptografische handtekeningen. De flexibiliteit en de toepassing waren echter beperkt. DKIM ontwikkelde zich uit DomainKeys en Cisco's Identified Internet Mail tot een gestandaardiseerde en breed geaccepteerde oplossing. Vandaag de dag is DKIM de hoeksteen van veilige e-mailcommunicatie en zorgt het ervoor dat berichten authentiek en ongewijzigd blijven tijdens verzending, terwijl het DMARC ondersteunt voor het afdwingen van beleid.
Wat was DomainKeys (DK)?
DomainKeys was een vroeg e-mailverificatieprotocol dat in 2004 werd ontwikkeld en uitgebracht door Yahoo. Het had een heel eenvoudig, rechttoe rechtaan en bewonderenswaardig doel: de domeinidentiteit van de afzender verifiëren en het toenemende aantal spam, phishing en vervalste e-mails verminderen.
Dit is hoe DomainKeys werkte. Het gebruikte een eenvoudig ondertekeningsschema dat cryptografische handtekeningen toepaste op het hele bericht. Hoewel dit een stap voorwaarts was, was het nog steeds niet flexibel genoeg om headers te selecteren en werd het gemakkelijk gebroken door doorsturen of wijzigingen aan mailinglijsten. Vanwege deze beperkingen werd het uiteindelijk vervangen door DKIM en verouderd.
Nadelen van DomainKeys
Hier zijn een paar redenen waarom DomainKeys uiteindelijk moest worden vervangen:
- Het was propriëtair: Het was een propriëtaire Yahoo standaard en heeft nooit brede IETF standaardisatie bereikt.
- Het had geen selectiemechanisme: Er waren geen "selectors", wat betekent dat een domein slechts één openbare sleutel kon gebruiken. Dit maakte het roteren van sleutels en het beheren van verschillende e-mailverzendservices erg moeilijk.
- De handtekeningen waren erg broos: De ondertekenmethode was erg rigide. Handtekeningen gingen bijna altijd kapot als de e-mail werd doorgestuurd of een beetje werd aangepast door een mailinglijst.
- De flexibiliteit was beperkt: Het bood zeer weinig opties voor ondertekeningsalgoritmen en canonicalisatie (d.w.z. hoe de e-mail wordt verwerkt voordat deze wordt ondertekend).
Inleiding tot DKIM (DomainKeys Identified Mail)
DKIM, of DomainKeys Identified Mail, is een e-mailverificatieprotocol waarmee verzenders kunnen voorkomen dat e-mailinhoud tijdens de aflevering wordt gemanipuleerd. DKIM is ontstaan uit een samenwerking tussen Yahoo en Cisco in 2004-2005 en werd een IETF-standaard in 2007 (RFC 4871).
Het werkt door een digitale handtekening toe te voegen aan de header van het bericht. Zodra de ontvanger de door DKIM ondertekende e-mail ontvangt, controleert hij of de handtekening geldig is. Als de handtekening geldig is, weten ze dat het bericht intact is verzonden en niet is gemanipuleerd door hackers.
Hier is een voorbeeld van een DKIM-handtekening:
DKIM-handtekening: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:subject:date; bh=abc123...; b=xyz456...
Hoe DKIM werkt
DKIM is gebaseerd op een paar cryptografische sleutels: een privésleutel en een openbare sleutel. Deze sleutels zijn essentieel om te garanderen dat een e-mail authentiek is en niet is gewijzigd.
Wanneer een e-mail wordt verzonden, gebruikt de mailserver van de afzender de privésleutel om een digitale handtekening te maken. Deze handtekening wordt toegevoegd aan de e-mail in de DKIM header, een speciaal deel van de e-mail dat de handtekening zelf bevat, samen met informatie over het ondertekeningsdomein, het gebruikte algoritme en welke headers zijn opgenomen in de handtekening.
Wanneer de e-mail de ontvanger bereikt, haalt zijn mailserver de publieke sleutel op uit het DNS van de afzender. De server gebruikt vervolgens deze openbare sleutel om de DKIM header te controleren en te verifiëren dat de handtekening overeenkomt met het bericht. Als dat zo is, wordt de e-mail bevestigd als authentiek en ongewijzigd.
In het kort: De DKIM header bevat de handtekening, de privésleutel genereert deze en de publieke sleutel verifieert deze, waardoor zowel de integriteit als de authenticiteit van de e-mail wordt beschermd.
Belangrijke innovatie: De belangrijkste innovatie van DKIM ten opzichte van DomainKeys was de introductie van gestandaardiseerde, flexibele cryptografische handtekeningen met selectors en robuuste canonicalisatie voor betrouwbare, domeingebaseerde verificatie.
DomainKeys Vs DKIM: de belangrijkste verschillen
Er is een verschil van slechts twee letters in het acroniem, maar het maakt een enorm verschil. DKIM kwam om de beperkingen van DomainKeys op te lossen.
1. Standaardisatie en goedkeuring
- DomainKeys: Het was gepatenteerd en werd aangestuurd door Yahoo, en de toepassing was vrij beperkt; vandaag de dag is het volledig verouderd.
- DKIM: Dit is een open IETF-standaard. Deze neutraliteit en technische superioriteit zijn de belangrijkste redenen waarom elke grote e-mailprovider, waaronder Google en Microsoft, deze standaard heeft overgenomen.
2. Handtekening Flexibiliteit
- DomainKeys: Het ondertekende specifieke headers en de volledige berichttekst, wat vaak leidde tot het verbreken van handtekeningen als berichten tijdens het transport werden gewijzigd.
- DKIM: DKIM's body hash en canonicalisatie maken het toleranter voor kleine veranderingen in de opmaak, hoewel het doorsturen of wijzigen van mailinglijsten nog steeds handtekeningen kan breken. De verzender kan kiezen precies welke headers te ondertekenen (h= tag). Bovendien ondertekent het een hash van de berichttekst (bh= tag), die beter bestand is tegen kleine aanpassingen zoals doorsturen. Het gebruikt ook canonicalisatie (c= tag) om te definiëren hoe berichtwijzigingen zoals witruimte worden behandeld.
3. Sleutelbeheer en selecteurs
- DomeinSleutels: Ontbrak het selectiemechanisme, waardoor alle berichten van een domein een enkele openbare sleutel moesten gebruiken, wat sleutelrotatie en -beheer bemoeilijkte.
- DKIM: Het concept van "selecteurs." Een selector is een naam die wijst naar een specifiek openbare sleutel in uw DNS. Hierdoor kun je:
- Gebruik verschillende sleutels voor verschillende services, of het nu voor Google Workspace is, voor je marketingplatform, enz.
- Draai je sleutels voor de zekerheid zonder de poststroom te verstoren.
Als u hulp nodig heeft bij het maken van uw DKIM record, kunt u een gratis DKIM record generator om er zeker van te zijn dat de syntax correct is.
4. Veiligheid en integriteit
- DomainKeys: Het was gericht op de authenticiteit van de afzender.
- DKIM: De hashcontrole van de body (bh=) bevestigt dat de inhoud van de e-mail niet is gewijzigd sinds deze werd ondertekend.
DomainKeys versus DKIM: Vergelijkingstabel
| Functie | DomeinKeys (DK) | DomainKeys Identified Mail (DKIM) |
|---|---|---|
| Ontwikkeld door | Yahoo (bedrijfseigen) in 2004 | Gezamenlijke inspanning van Yahoo & Cisco, later gestandaardiseerd door de IETF. Geïntroduceerd in 2007 (RFC 4871), bijgewerkt in RFC 6376 (2011) |
| Doel | Het domein van de afzender authenticeren om vervalste e-mails en spam te verminderen | Het domein van de afzender authenticeren en de integriteit van het bericht waarborgen |
| Naam kopveld | Domeinsleutel-handtekening: | DKIM-handtekening: |
| Keuzemechanisme | Niet ondersteund | Ondersteund (selector._domainkey.example.com) |
| Sleutelbeheer | Eén sleutel voor het hele domein | Meerdere toetsen via keuzeschakelaars; eenvoudig draaien van toetsen |
| Ondertekening Toepassingsgebied | Gehele berichttekst en enkele headers | Specifieke headers gekozen door afzender (h= tag) en gehashte berichttekst (bh= tag) |
| Opties voor canonicalisatie | Basis of geen | Eenvoudige en ontspannen canonicalisatieopties voor flexibiliteit |
| Body Hashing | Het hele lichaam direct ondertekend | Gebruikt body hash (bh=) voor betere bestendigheid tegen kleine veranderingen |
| Verificatiedomein | Gebaseerd op "Van" of "Afzender" domein | Gebaseerd op d= tag in handtekening |
| Integratie met DMARC | Niet ondersteund | Volledig ondersteund en gebruikt voor uitlijncontroles |
| Adoptie en status | Beperkt toepasbaar; verouderd | Op grote schaal toegepast en actief gebruikt |
| Belangrijkste beperking | Rigide ondertekeningsproces, geen selectors, handtekeningbreuk | Beschermt de zichtbare "Van"-header niet (DMARC vereist) |
Waarom DKIM DomainKeys vervangt
DKIM verving DomainKeys omdat het de belangrijkste technische beperkingen van het protocol oploste - gebrek aan standaardisatie, geen selectiemechanisme voor sleutelrotatie en fragiele handtekeningen die kapot gingen bij kleine berichtwijzigingen. DKIM introduceerde flexibele ondertekening van headers, sterkere cryptografie en IETF-standaardisatie, waardoor het betrouwbaarder, schaalbaarder en wijdverspreid werd voor e-mailverificatie.
De zakelijke voordelen van het implementeren van DKIM
DKIM heeft veel voordelen:
Preventie van spoofing en phishing
Hoewel DKIM op zichzelf spoofing en phishing-aanvallen niet kan stoppen, werkt het samen met DMARC om domeinbeveiliging te verbeteren en neppers te weren.
Merkbescherming
Wanneer een scammer uw domein gebruikt om schadelijke e-mails te versturen, lijdt de reputatie van uw merk daaronder. Ontvangers associëren uw naam met spam en fraude, wat leidt tot verlies van vertrouwen. DKIM behoudt de integriteit van uw merk in de inbox.
Deliverability van e-mails
Grote inboxproviders zoals Google en Microsoft verwachten en vereisen geldige authenticatie. E-mails die DKIM passeren worden als betrouwbaarder gezien.
Integriteit van berichten
De DKIM-handtekening garandeert dat er niet met de inhoud van de e-mail is geknoeid nadat deze is verzonden. Dit zorgt ervoor dat het bericht dat de ontvanger leest precies hetzelfde is als het bericht dat u hebt verzonden.
Waarom DKIM alleen niet genoeg is
DKIM is een krachtig hulpmiddel, maar het heeft één grote beperking wanneer het alleen wordt gebruikt: Het stopt header "Van" spoofing niet.
DKIM controleert of de e-mail is ondertekend door een domein dat staat vermeld in de d= tag van de handtekening. Het niet dat het domein overeenkomt met de zichtbare "Van" adres dat de gebruiker ziet. Een bedrieger kan een e-mail sturen "uit" de naam van de CEO, maar deze ondertekenen met zijn eigen kwaadaardige domein. De e-mail zou door een DKIM-controle komen, maar het is nog steeds een spoofing-aanval.
Dit is waar DMARC van pas komt.
DMARC overbrugt de kloof tussen authenticatie en identiteit. Het zorgt ervoor dat het domein dat is geverifieerd door DKIM of SPF overeenkomt met het domein dat zichtbaar is voor de ontvanger in de "Van" header.
Samenvattend
DomainKeys maakte de weg vrij, maar DKIM blijft vandaag de dag de standaard voor vertrouwde e-mailverificatie. De koppeling met DMARC zorgt voor bescherming tegen spoofing en phishing.
Als je iets verkeerd configureert, kunnen zelfs legitieme e-mails worden geblokkeerd. Om dergelijke problemen en andere uitdagingen met DKIM te voorkomen, biedt PowerDMARC's Gehoste DKIM service van PowerDMARC helpen. Het is een cloudservice die elk aspect van het DKIM-beheerproces voor zijn rekening neemt. Vanuit een gecentraliseerd dashboard kunt u meerdere selectors en sleutels voor al uw domeinen toevoegen, bewerken en beheren, zonder dat u zich bezig hoeft te houden met wijzigingen op DNS-niveau.
Start vandaag nog een gratis proefperiode vandaag nog om de deliverability te verbeteren, de verificatie te verbeteren en je domein te beschermen tegen spoofing!
Veelgestelde Vragen
- Wordt DomainKeys vandaag de dag nog steeds gebruikt?
Nu niet meer. Het is afgeschaft en vervangen door het moderne DKIM-protocol.
- Hoe kan PowerDMARC helpen met DKIM-beheer?
PowerDMARC biedt een gehoste DKIM-oplossing die automatische DKIM-implementatie, -selectie en -sleutelbeheer mogelijk maakt.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.
Laatste berichten van Ahona Rudra (Bekijk alle berichten)
