Hoe u uw DKIM-selector kunt vinden en DKIM-sleutels kunt beheren

Wat doet e-mailverificatie? Ja, het blokkeert vervalste berichten, maar het speelt ook een cruciale rol bij het beschermen van de merkreputatie en het garanderen dat legitieme e-mails daadwerkelijk in de inbox terechtkomen. Onder de belangrijkste verificatieprotocollen onderscheidt DKIM zich door aan elk bericht een cryptografische handtekening toe te voegen, waarmee wordt aangetoond dat het tijdens het transport niet is gewijzigd.

Centraal in DKIM staat de DKIM-selector. Hoewel deze vaak over het hoofd wordt gezien, bepaalt de selector welke openbare sleutel ontvangende servers moeten gebruiken om de handtekening van uw e-mail te verifiëren. Dit maakt de selector essentieel voor succesvolle DKIM-authenticatie tussen verschillende e-mailstromen en providers.

In deze blog bespreken we alles wat u moet weten over DKIM-selectors en lossen we veelvoorkomende fouten op die de authenticatie kunnen verstoren en de deliverability kunnen beïnvloeden.

Wat is een DKIM Selector?

Een DKIM-selector is een unieke identificatiecode die wordt gebruikt bij DKIM-authenticatie en die ontvangende mailservers vertelt welke openbare sleutel ze uit DNS moeten ophalen om de DKIM-handtekening van een e-mail te verifiëren. Hierdoor kan een domein meerdere DKIM-sleutels tegelijkertijd gebruiken, wat het rouleren en beheren van sleutels eenvoudiger maakt zonder de e-mailbezorging te onderbreken.

Een voorbeeld:

DKIM-handtekening: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…

Hier staat s= voor selector. In dit voorbeeld geeft s=selector1 de server de opdracht om het volgende op te vragen:
selector1._domainkey.example.com

Hoe DKIM-authenticatie werkt (stap voor stap)

Zoals hierboven uitgelegd, werkt DKIM door een cryptografische handtekening toe te voegen aan elke uitgaande e-mail die wordt verzonden vanaf uw DKIM-compatibele domein.

• Stap 1: De verzendende mailserver ondertekent de uitgaande e-mail met een privé cryptografische sleutel. Deze handtekening wordt toegevoegd aan de e-mailheader, samen met een DKIM-selector die aangeeft welke sleutel is gebruikt.
• Stap 2: De ontvangende mailserver zoekt de openbare sleutel op. Dit doet hij door de DNS te raadplegen met behulp van de selector.
• Stap 3: Zodra de openbare sleutel is gevonden, gebruikt de ontvangende server deze om de handtekening in de e-mailheader te verifiëren. Als de handtekening overeenkomt, slaagt DKIM en wordt bevestigd dat het bericht tijdens het transport niet is gewijzigd en door het verzendende domein is geautoriseerd.

Houd er echter rekening mee dat DKIM het beste werkt in combinatie met SPF en DMARC en niet in zijn eentje spoofing- en phishingaanvallen kan voorkomen.

Hoe vindt u uw DKIM-selector?

Methode A: E-mailheaders controleren (handmatig)

1) Stuur een testmail naar uw Gmail-account
2) Klik op de drie puntjes naast de e-mail in uw Gmail-inbox

3) Selecteer "origineel weergeven".

4) Navigeer op de "Original Message" pagina naar de DKIM handtekeningsectie en probeer de "s=" tag te vinden, de waarde van deze tag is uw DKIM selector.

In het bovenstaande voorbeeld is s1 mijn DKIM selector. Dit is een van de methoden die je kunt gebruiken om de jouwe te identificeren en te lokaliseren.

Methode B: Gebruik de instellingen van uw e-mailprovider

Stap 1: Log in op de beheerconsole van uw e-mailserviceprovider.

Stap 2: Ga naar het gedeelte voor e-mailverificatie of DNS-configuratie.
Stap 3: Zoek de DKIM-instellingen voor uw domein.
Stap 4: Zoek de selectorwaarde die bij het DKIM TXT-record staat vermeld.

Methode C: DKIM-zoek-/controletools gebruiken

Stap 1: Open de PowerDMARC DKIM Checker -tool

Stap 2: Voer uw domeinnaam in en laat het selectieveld op "auto" staan.

Stap 3: Klik op de zoek
Stap 4: Laat onze tool automatisch uw DKIM-selector detecteren en weergeven

Methode D: DMARC-monitoringtools gebruiken

DMARC-rapportagetools zoals PowerDMARC bieden inzicht in DKIM-selectors die actief worden gebruikt door verzendende bronnen.

Stap 1: Schakel DMARC-aggregatierapportage voor uw domein in door u aan te melden bij PowerDMARC.
Stap 2: Bekijk de authenticatieresultaten voor elke verzendbron.
Stap 3: Identificeer de DKIM-selectorwaarden die per bron en IP worden gerapporteerd.

Hoe een DKIM-selector configureren en publiceren

Het correct configureren van een DKIM-selector is van cruciaal belang voor e-mailverificatie, de reputatie van de afzender en de leverbaarheid op lange termijn. Een verkeerd geconfigureerde selector kan DKIM volledig onbruikbaar maken, zelfs als de sleutel zelf geldig is.

Vereiste DNS-recordindeling en syntaxis

Een DKIM-record wordt gepubliceerd als een TXT-record in DNS met behulp van deze structuur: selector._domainkey.uwdomein.com

Voorbeeld: s1._domainkey.voorbeeld.com

De waarde omvat doorgaans:

• v=DKIM1 (protocolversie)
• k=rsa (sleuteltype)
• p= (openbare sleutel)

Voorbeeldwaarde: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Zorg ervoor dat er geen extra spaties, aanhalingstekens of regeleinden zijn toegevoegd door de DNS-provider.

Aanbevelingen voor sleutellengte (2048-bit)

• 2048-bits DKIM-sleutels worden sterk aanbevolen.
• 1024-bits sleutels zijn verouderd en kunnen mogelijk niet worden geverifieerd door grote e-mailproviders.
• Langere sleutels verbeteren de cryptografische sterkte zonder de prestaties te beïnvloeden.

De meeste moderne e-mailplatforms gebruiken standaard 2048-bits sleutels. Het wordt aanbevolen om deze ingeschakeld te laten, tenzij er een sterke technische reden is om dit niet te doen.

Publiceren via het DNS-providerpaneel

1. Log in bij uw DNS-hostingprovider
2. Een nieuw TXT-record toevoegen
3. Stel de host/naam in als de DKIM-selector
4. Plak de DKIM openbare sleutel in het waardeveld
5. Opslaan en wachten op propagatie
6. Controleer uw DKIM-configuratie met behulp van onze DKIM Checker-tool

DKIM-selectornaamgevingsconventies en voorbeelden

Het kiezen van de juiste selectienaam verbetert de duidelijkheid, schaalbaarheid en onderhoudbaarheid op lange termijn.

Veelvoorkomende selectiepatronen

Veelgebruikte formaten zijn onder andere: s1, s2, selector1 en standaardwaarden van providers zoals google, k1, smtp en mail. Hoewel deze prima werken, missen ze vaak context en kunnen ze verwarrend zijn om bij te houden.

Best practice: beschrijvende selectornamen

Gebruik in plaats daarvan selectors die de dienst en de periode aangeven, zoals: google2025, sendgrid_q1, marketing_2024. Deze zijn veel gemakkelijker te onthouden en te volgen, geven een exacte context, laten weinig ruimte voor giswerk en zijn bovendien veilig.

DKIM-selectorbeheer

Een van de meest over het hoofd geziene aspecten van DKIM is het beheer van selectors in de loop van de tijd. Selectors moeten worden behandeld als beheerde activa in plaats van eenmalige DNS-vermeldingen die na de installatie worden vergeten.
Het bijhouden van documentatie is een eenvoudige maar krachtige praktijk. Met een eenvoudig spreadsheet of intern logboek kunt u uw selectors en rotatietijdlijnen efficiënt bijhouden. Dit voorkomt verwarring wanneer sleutels moeten worden geroteerd of wanneer een verzendservice wordt stopgezet.
Houd gewoon een eenvoudig volgsysteem bij (CSV, spreadsheet of intern logboek) met:

• Naam van de selector
• Domein
• Verzenddienst
• Sleutellengte
• Aanmaakdatum
• Rotatieschema
• Eigenaar/team

DKIM-selectorlevenscyclus

Elke DKIM-selector moet een duidelijke levenscyclus volgen. Deze begint met planning, waarbij naamgevingsconventies en rotatietijdlijnen worden gedefinieerd.
Een gezonde levenscyclus omvat:

1. Plan: strategie voor naamgeving en roulatie vaststellen
2. Publiceren: DNS-record toevoegen en valideren
3. Roteren: introduceer een nieuwe selector en sleutel
4. Decommission: verwijder ongebruikte selectors veilig

Best practices voor DKIM-selectors

Om de gezondheid van de DKIM-selector te behouden, zijn hier een paar best practices die u kunt volgen:

1. Maak uw selectors uniek en moeilijk te raden
2. Wissel uw DKIM-sleutels zo vaak mogelijk om compromittering te voorkomen.
3. Gebruik consistente naamgevingsconventies voor alle afzenders om audits te vergemakkelijken.
4. Controleer uw DKIM actief om ervoor te zorgen dat ongebruikte selectors tijdig worden geïdentificeerd en verwijderd.

Hoe de DKIM-analysetool van PowerDMARC kan helpen

Hosted DKIM Analytics van PowerDMARC dicht deze kloof door organisaties continu inzicht te geven in hoe DKIM daadwerkelijk presteert op verschillende domeinen, selectors en verzendbronnen.

• Monitoring per selector en verzendservice: PowerDMARC analyseert de DKIM-prestaties op selector- en verzendserviceniveau.
• Flexibele tijdsbereikfiltering: Met PowerDMARC kunt u de DKIM-prestaties analyseren over flexibele tijdsbereiken, zoals de afgelopen zeven dagen, de vorige maand of volledig aangepaste periodes.
• DKIM-statistieken in één oogopslag: voor snelle beoordelingen biedt PowerDMARC een hoogwaardig DKIM-overzicht met een samenvatting van het totale aantal selectors, actieve verzendservices en het aantal DKIM-ondertekende versus niet-ondertekende e-mails.
• Gedetailleerde inzichten op selectorniveau: voor elke selector toont PowerDMARC belangrijke gegevenspunten weer, zoals het totale e-mailvolume, DKIM-slaagpercentages en de laatste keer dat de selector werd waargenomen bij het ondertekenen van e-mails.
• Exporteerbare rapporten voor audit en samenwerking: Met PowerDMARC kunt u Hosted DKIM Analytics-gegevens exporteren in CSV-formaat, waardoor rapportage eenvoudig en flexibel wordt.
• DKIM-sleutelstatusoverzicht: belangrijke inzichten in de sleutelstatus zijn onder meer zichtbaarheid van de sleutellengte, tracking van sleutelrotatie en monitoring van sleutelgebruik.

Veelvoorkomende DKIM-selectorproblemen en probleemoplossing

Probleem 1: Selector niet gevonden in DNS

Veelvoorkomende oorzaken: Dit probleem kan worden veroorzaakt door syntaxfouten, een onjuist DNS-recordtype, onvolledige propagatie of verkeerd gebruik van domeinen of subdomeinen.
Probleemoplossing: Geef uw DNS 24-48 uur propagatietijd als u DKIM onlangs hebt geconfigureerd. Als het probleem zich blijft voordoen, gebruik dan een DKIM-controletool om uw record te controleren en gevonden fouten te herstellen.

Probleem 2: Meerdere selectors zorgen voor verwarring

Veelvoorkomende oorzaken: Te veel actieve selectors kunnen audits bemoeilijken en ongebruikte selectors kunnen voor onbepaalde tijd blijven staan. Dit is geen goede werkwijze. Bovendien maakt slechte documentatie de eigendom onduidelijk.
Probleemoplossing: Verwijder ongebruikte selectors tijdig en houd de documentatie up-to-date om auditing en tracking nauwkeurig en moeiteloos te maken.

Probleem 3: Selector komt niet overeen

Veelvoorkomende oorzaken: De DKIM-header verwijst naar een selector die niet bestaat in DNS of een sleutel is gewijzigd, maar de verzendende service is niet bijgewerkt.
Probleemoplossing: Controleer altijd of de DKIM-handtekening (s= waarde) overeenkomt met uw gepubliceerde DNS-record.

Laatste woorden

Uit deze blog hebben we geleerd dat de DKIM-selector een belangrijke rol speelt bij DKIM-authenticatie en dat we deze op verschillende manieren kunnen vinden, zowel handmatig als automatisch. Als u echter maximale controle over uw DKIM wilt, hebt u meer nodig dan dit.

Door prestatieanalyses te combineren met belangrijke gezondheidsinformatie, verandert PowerDMARC DKIM van een statische configuratie in een continu bewaakte beveiligingscontrole. Teams krijgen het inzicht dat nodig is om de leverbaarheid te behouden, best practices af te dwingen en DKIM met vertrouwen te beheren in complexe e-mailecosystemen, zonder afhankelijk te zijn van handmatige controles of giswerk. Neem vandaag nog contact met ons op om aan de slag te gaan!

Veelgestelde Vragen

Wat gebeurt er als een DKIM-selector onjuist is?
Als een DKIM-selector onjuist is, kunnen uw e-mails de DKIM-authenticatie niet doorstaan, waardoor spamfilters vaker worden geactiveerd en mogelijk DMARC-fouten worden veroorzaakt.
Kunt u meerdere DKIM-selectors hebben?
Ja. Meerdere DKIM-selectors zijn normaal en vaak nodig voor rotatie of meerdere afzenders.
Hoe vaak moet ik DKIM-sleutels roteren?
Het wordt aanbevolen om uw DKIM-sleutels elke 3-6 maanden te roteren. In geval van een beveiligingsincident moet u uw sleutels echter onmiddellijk roteren om verdere compromittering te voorkomen.
Welke tools kunnen DKIM-selectors automatisch vinden?
De e-mailheaderanalysator en DKIM-opzoektools van PowerDMARC kunnen de DKIM-selector die in een bericht wordt gebruikt onmiddellijk extraheren, zonder handmatige inspanning of technische expertise.

• Over
• Laatste berichten

Yunes Tarada

Expert domein- en e-mailbeveiliging bij PowerDMARC

Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)

• SPF-compressie: verminder het aantal SPF-DNS-zoekopdrachten en optimaliseer uw SPF-record - 25 maart 2026
• Geverifieerd merkcertificaat versus algemeen merkcertificaat: het juiste certificaat kiezen - 10 maart 2026
• Spam Confidence Level (SCL) -1 Bypass: wat het betekent en hoe u ermee omgaat - 4 maart 2026