• DKIM instellen: duidelijke stappen die u vandaag nog kunt volgen

DKIM instellen: duidelijke stappen die u vandaag nog kunt volgen

Blog

Leer hoe u DKIM voor uw domein kunt instellen met deze stapsgewijze handleiding. Ontdek hoe u DKIM kunt inschakelen om uw e-mails te authenticeren en de afleverbaarheid te verbeteren.

door Ahona Rudra

Laatst bijgewerkt:
10 leestijd: 10 minuten
DKIM instellen: duidelijke stappen die u vandaag nog kunt volgen
Inhoudsopgave-

Belangrijkste Conclusies

  • DKIM verifieert e-mails door de integriteit van berichten te controleren en te bevestigen dat berichten door geautoriseerde servers zijn verzonden.
  • Het instellen van DKIM omvat het genereren van een sleutelpaar, het publiceren van de openbare sleutel als een DNS-record en het inschakelen van ondertekening bij uw e-mailprovider.
  • DKIM verbetert de leverbaarheid en de reputatie van de afzender door mailboxproviders te helpen vertrouwen te hebben in uw domein.
  • Elke e-maildienst vereist zijn eigen DKIM-configuratie, waarbij vaak afzonderlijke selectors worden gebruikt voor flexibiliteit en sleutelrotatie.
  • DKIM werkt het beste in combinatie met SPF en wordt afgedwongen via DMARC, ondersteund door regelmatige monitoring en onderhoud van sleutels.

Als uw e-mails in de spamfolder terechtkomen of worden geweigerd, is de kans groot dat uw domein niet correct is geauthenticeerd.

Een van de belangrijkste stappen die u kunt nemen om dit te verhelpen, is het instellen van DKIM: een protocol dat bewijst dat uw e-mails legitiem zijn en niet zijn gemanipuleerd.

In deze handleiding leggen we u stap voor stap uit hoe u DKIM voor uw domein kunt instellen, zodat u uw reputatie als afzender kunt beschermen en de afleverbaarheid van uw e-mails kunt verbeteren.

Wat is DKIM?

DKIM, of DomainKeys Identified Mail, is een methode voor e-mailverificatie die gebruikmaakt van digitale handtekeningen op basis van publieke sleutelcryptografie om te controleren waar een e-mail vandaan komt. Het werkt door twee cryptografische sleutels aan elkaar te koppelen: een privésleutel die de afzender gebruikt om uitgaande berichten te ondertekenen, en een publieke sleutel die ontvangende servers gebruiken om die handtekeningen te verifiëren.

Elke e-mail die wordt verzonden vanaf een DKIM-domein bevat een DKIM-header met een digitale handtekening. Dit is in feite een hashcode die wordt berekend door de inhoud van de e-mail te combineren met de privésleutel met behulp van een beveiligingsalgoritme.

De bijbehorende openbare sleutel wordt opgeslagen in een openbaar beschikbaar DNS-record dat bekend staat als het DKIM-record. Wanneer een e-mail binnenkomt, zoekt de ontvangende server dit record op, haalt de openbare sleutel op en gebruikt deze om de handtekening te verifiëren. Als de e-mailheaders of -tekst tijdens het transport op enigerlei wijze zijn gewijzigd, mislukt de verificatie.

Tip van een expert: Voor bedrijfsomgevingen is het raadzaam om uw huidige e-mailinfrastructuur te documenteren voordat u wijzigingen aanbrengt. Dit omvat externe afzenders, subdomeinen en alle bestaande authenticatierecords.

Waarom is DKIM essentieel voor uw domein?

DKIM-configuratie versterkt e-mailverificatie en ondersteunt zowel beveiliging als betrouwbare berichtbezorging zonder dat dit extra complexiteit voor ontvangers met zich meebrengt. Dit is waarom het configureren van DKIM belangrijk is:

  • Voorkomt domeinspoofing: DKIM helpt ongeoorloofd spoofing van uw domein te voorkomen door elke uitgaande e-mail te authenticeren met een digitale handtekening, waardoor het voor aanvallers aanzienlijk moeilijker wordt om spam-e-mails te versturen alsof ze van u afkomstig zijn.
  • Beschermt uw reputatie als afzender: Wanneer ontvangende servers kunnen verifiëren dat uw e-mails legitiem en ongewijzigd zijn, bouwt uw domein in de loop van de tijd vertrouwen op. Dit beschermt direct uw merk en uw reputatie als afzender.
  • Verbetert de afleverbaarheid van e-mails: DKIM verhoogt de bezorgbaarheid van uw e-mails aanzienlijk. Zonder DKIM worden e-mails die niet voldoen aan de DKIM- en SPF-controles gemarkeerd als spam of helemaal niet bezorgd door de ontvangende e-mailservers.
  • Zorgt voor de integriteit van e-mails: De digitale handtekening in DKIM zorgt ervoor dat de e-mail tijdens het verzenden niet is gewijzigd. Als de headers of de tekst na verzending worden gewijzigd, mislukt de verificatie. Ontvangers kunnen erop vertrouwen dat wat zij ontvangen precies is wat u hebt verzonden.
  • Maakt DMARC-compliance mogelijk: DKIM is een vereiste om DMARC-compatibel te worden. Zonder DKIM kunt u geen DMARC-beleid afdwingen, waardoor uw domein kwetsbaar blijft voor phishing- en identiteitsfraudeaanvallen.
  • Versterkt uw algehele e-mailbeveiliging: DKIM, samen met SPF en DMARC, maakt het voor aanvallers veel moeilijker om zich voor te doen als uw domein. Samen vormen deze drie protocollen de basis van moderne e-mailverificatie.

Hoe werkt DKIM?

DKIM is een technisch proces, maar het basisidee is eenvoudig. Het stelt e-mailproviders in staat om te verifiëren dat een bericht afkomstig is van het opgegeven domein en tijdens het transport niet is gewijzigd. Zo werkt het.

  • Ondertekening: De verzendende server gebruikt een privésleutel om een digitale handtekening te genereren, die als DKIM-Signature-headerveld aan de e-mail wordt toegevoegd.
  • Publiceren: De openbare sleutel van het domein wordt gepubliceerd als een DNS TXT-record (het DKIM-record), zodat elke ontvangende server er toegang toe heeft.
  • Verificatie: De ontvangende e-mailserver controleert het DKIM DNS-record, haalt de openbare sleutel op en gebruikt deze om de digitale handtekening te verifiëren.
  • Geslaagd of niet geslaagd: Als de handtekening overeenkomt, wordt de e-mail geverifieerd. Als de e-mailheaders of -tekst tijdens het verzenden zijn gewijzigd, mislukt de verificatie en kan het bericht als spam worden gemarkeerd of worden geweigerd.

De DKIM-Signature-header bevat ook een selector, die de ontvangende server precies vertelt welke openbare sleutel moet worden gebruikt voor verificatie. Dit is vooral belangrijk wanneer een domein meerdere DKIM-sleutels gebruikt.

Dit is waarom meer dan 10.000 klanten vertrouwen op PowerDMARC

  • Enorme vermindering van pogingen tot spoofing en ongeautoriseerde e-mails
  • Snellere onboarding + geautomatiseerd authenticatiebeheer
  • Realtime dreigingsinformatie en rapportage over verschillende domeinen heen
  • Betere e-mailbezorgingspercentages dankzij strikte handhaving van DMARC

De eerste 15 dagen zijn gratis

Meld je aan voor een gratis proefperiode

DKIM-installatie Vereisten

Voordat u begint met het instellen van DKIM, moet u ervoor zorgen dat een aantal zaken in orde zijn. Als u een van deze stappen overslaat, kan dit leiden tot verkeerde configuraties of mislukte authenticatie. Het is dus de moeite waard om even de tijd te nemen om te controleren of u alles klaar heeft staan.

  • Beheerdersrechten voor de DNS-instellingen van uw domein: U moet een TXT-record aanmaken bij uw domeinprovider om uw openbare DKIM-sleutel te publiceren.
  • Beheerdersrechten voor uw e-mailserviceprovider: Of u nu Google Workspace, Microsoft 365 of een andere provider gebruikt, u moet zijn aangemeld als superbeheerder om DKIM-sleutels te genereren of te verkrijgen.
  • Een lijst met al uw verzenddomeinen en -services: U moet DKIM-records aanmaken voor elk domein en elke dienst die bevoegd is om namens uw organisatie e-mail te verzenden, inclusief tools van derden.
  • Een DKIM-sleutelpaar: Grote providers kunnen deze automatisch genereren in hun beheerconsole, of u kunt ze verkrijgen via portals van derden of tools gebruiken zoals PowerDMARC's DKIM Record Generator

Zodra u dit allemaal hebt bevestigd, bent u klaar om door te gaan met de installatie.

Hoe u DKIM voor uw domein instelt (stap voor stap)

Nu alles klaar is, is het tijd om het daadwerkelijke DKIM-installatieproces door te lopen. Volg elke stap zorgvuldig om ervoor te zorgen dat uw DKIM-configuratie vanaf het begin nauwkeurig en functioneel is.

Stap 1: Genereer uw DKIM-sleutelpaar

Log in op de beheerconsole van uw e-mailserviceprovider en genereer een DKIM-sleutelpaar. Hiermee krijgt u een privésleutel (die bij uw provider blijft) en een openbare sleutel die u aan uw DNS toevoegt.

Als uw provider een externe dienst is, ga dan naar hun portaal om de DKIM-sleutel op te halen. Kies bij het selecteren van een sleutelgrootte voor 2048 bits voor een betere beveiliging.

Stap 2: Maak uw DKIM TXT-record aan in DNS

Head to your domain provider’s DNS management panel and create a new TXT record. The record name follows a specific format: <selector>._domainkey.<yourdomain.com>, where the selector is a unique string used to identify the specific DKIM key.

De recordwaarde begint doorgaans met v=DKIM1; k=rsa; p= gevolgd door uw openbare sleutel. Volg de specifieke instructies van uw e-mailprovider en domeinhost om de nauwkeurigheid te garanderen.

Stap 3: Schakel DKIM-ondertekening in bij uw e-mailserviceprovider

Ga terug naar de instellingen van uw e-mailserviceprovider en schakel DKIM-ondertekening in. Hierdoor wordt de provider gevraagd om een DKIM-handtekening toe te voegen aan elke uitgaande e-mail van uw domein.

Zonder deze stap zullen uw e-mails geen DKIM-Signature-header bevatten, zelfs als het DNS-record aanwezig is.

Stap 4: Wacht op DNS-propagatie

Na het toevoegen van de DKIM-sleutel kan het tot 48 uur duren voordat DKIM-authenticatie begint te werken.

Gedurende deze tijd worden DNS-wijzigingen doorgevoerd op het internet, dus raak niet in paniek als de verificatie niet onmiddellijk slaagt.

Stap 5: Herhaal voor aanvullende diensten

Als u meerdere e-maildiensten gebruikt, herhaalt u stap 1 tot en met 4 voor elke dienst. Elke dienst vereist een eigen uniek DKIM-record met een aparte selector om ervoor te zorgen dat al uw verzendbronnen correct worden geauthenticeerd.

Hoe u uw DKIM-instellingen kunt controleren

Vervolgens moet u ook controleren of alles correct werkt. Een verkeerd geconfigureerd record of een typefout in uw TXT-invoer kan de authenticatie ongemerkt verstoren. Het is dus belangrijk om uw instellingen te controleren voordat u ervan uitgaat dat uw e-mails beveiligd zijn. Hier zijn een paar betrouwbare manieren om dit te controleren.

  • Controleer e-mailheaders: Stuur een test-e-mail en controleer de berichtkopteksten op een DKIM-Signature en DKIM=PASS in de authenticatieresultaten.
  • Stuur een test-e-mail naar Gmail: Open de ontvangen e-mail, klik op 'Origineel weergeven' en zoek naar de DKIM-passstatus in de authenticatiegegevens.
  • Gebruik online verificatietools: Met tools zoals MXToolbox kunt u uw DKIM-record opzoeken door uw domein en selector in te voeren om te controleren of de openbare sleutel correct is gepubliceerd.
  • Geef de propagatie de tijd: Als de verificatie mislukt, houd er dan rekening mee dat het tot 48 uur kan duren voordat DNS-wijzigingen volledig zijn doorgevoerd voordat u verder gaat met het oplossen van problemen.

DKIM-instellingen voor veelgebruikte e-mailproviders

Als u verschillende e-maildiensten gebruikt om uw zakelijke of commerciële e-mails te versturen, moet u DKIM voor elk van deze diensten instellen.

Elke provider ondertekent uitgaande berichten met zijn eigen DKIM-sleutel en selector, dus door DKIM individueel te configureren, zorgt u ervoor dat elke dienst die namens uw domein verzendt, correct wordt geauthenticeerd.

1. Voor Google Workspace

Voor kleine bedrijven die Google Workspace gebruiken, duurt deze installatie doorgaans 15-20 minuten en biedt deze onmiddellijke voordelen op het gebied van e-mailbeveiliging.

Bron: Google-ondersteuning

  1. Controleer of DKIM al is ingesteld voor uw domein met onze DKIM-validatietool. 
  2. Als je Google Workspace niet gebruikt, kun je de DKIM-generator van PowerDMARC gebruiken om je record te maken. 
  3. Als u Google Workspace gebruikt, meldt u zich aan bij Google Admin Console 
  4. Ga naar Menu > Apps > Google Workspace> Gmail.
  5. Klik op E-mail verifiëren 
  6. Selecteer uw domein uit de lijst en klik op de knop Nieuw record genereren om te beginnen met het maken van een record. Google levert meestal een sleutel van 2048 bits.
  7. Eenmaal gegenereerd, kopieer je de DNS Host naam (TXT record naam) en TXT record waarde (de publieke sleutel).
  8. Publiceer het TXT-record in je DNS-instellingen en sla de wijzigingen op. Wacht op DNS-propagatie.
  9. Ga terug naar de Google beheerconsole en klik op "Authenticatie starten".

2. Voor Microsoft Office 365

Microsoft Office 365 gebruikt twee DKIM-selectors voor elk aangepast domein. Met deze selectors kan Microsoft DKIM-sleutels automatisch rouleren zonder de e-mailbezorging te onderbreken, wat de beveiliging verbetert en het risico op blootstelling van sleutels vermindert. Beide selectors moeten correct in DNS worden gepubliceerd om DKIM-ondertekening naar behoren te laten werken.

Volg deze stappen om DKIM voor Microsoft Office 365 te configureren:

  • Ga naar E-mailverificatie-instellingen in de Microsoft Defender-portal.
  • Op de DKIM tabblad selecteert u het aangepaste domein dat u wilt configureren door ergens op de rij te klikken, behalve op het selectievakje.
  • Controleer de status in het flyout-menu met domeingegevens. Als er "Geen DKIM-sleutels opgeslagen voor dit domein", selecteer dan DKIM-sleutels aanmaken.

Microsoft genereert twee DKIM-selectors en geeft de vereiste CNAME-recordwaarden weer. Deze records verwijzen uw domein naar door Microsoft beheerde DKIM-sleutels.

  • Kopieer de twee hostnamen en de bijbehorende doelwaarden.
  • Open de DNS-beheerinterface van uw domeinregistrar en maak de vereiste CNAME-records aan met behulp van de gekopieerde waarden. Bijvoorbeeld:
    • Hostnaam: selector1._domainkey → Waarde: selector1-uwdomein-com._domainkey.uwtenant.onmicrosoft.com
    • Hostnaam: selector2._domainkey → Waarde: selector2-uwdomein-com._domainkey.uwtenant.onmicrosoft.com
  • Sla de records op en wacht tot de DNS-propagatie is voltooid. Dit kan enkele minuten of langer duren, afhankelijk van uw DNS-provider.
  • Zodra de propagatie is voltooid, keert u terug naar het flyout-venster met domeingegevens in de Defender-portal en schakelt u Berichten voor dit domein ondertekenen met DKIM-handtekeningen naar Ingeschakeld. Als de CNAME-records succesvol worden gedetecteerd, wordt de status bijgewerkt.
  • Controleer het volgende om de installatie te bevestigen:
    • De schakelaar staat op Ingeschakeld.
  • De status geeft aan DKIM-handtekeningen ondertekenen voor dit domein.
  • De Laatst gecontroleerd datum geeft een recente validatie weer.

3. Voor Godaddy

Het proces voor GoDaddy bestaat uit het toevoegen van het DKIM-record (meestal een TXT- of CNAME-record dat door je e-mailserviceprovider wordt geleverd of door een tool wordt gegenereerd) aan de DNS-instellingen van je domein.

  • Log in op je GoDaddy-account.
  • Ga naar de pagina Domeinportfolio en selecteer je domein.
  • Selecteer DNS in het menu aan de linkerkant.
  • Klik op "Nieuw record toevoegen".
  • Voer de gegevens in die worden verstrekt door uw DKIM-installatie-instructies:

Type: Selecteer TXT of CNAME zoals vereist.

Naam: Voer de opgegeven hostnaam/naam in (bijv, selector._domainkey. GoDaddy voegt vaak automatisch je domeinnaam toe).

Waarde: Plak de DKIM publieke sleutelwaarde of de doel CNAME waarde.

TTL: Gebruik de standaardwaarde (meestal 1 uur) of volg specifieke instructies.

  • Klik op "Opslaan". Laat DNS-propagatie even op zich wachten.

4. Voor Cloudflare 

Net als bij GoDaddy moet DKIM bij Cloudflare worden ingesteld door het specifieke DNS-record toe te voegen dat door uw e-mailservice of DKIM-generatietool wordt geleverd.

  • Log in bij Cloudflare.
  • Selecteer je account en domein.
  • Ga naar DNS → Records.
  • Klik op "Record toevoegen".
  • Voer de gegevens voor uw DKIM record in:
    • Type: Selecteer TXT of CNAME zoals vereist.
    • Naam: Voer de hostnaam in (bijv. `selector._domainkey`). Cloudflare voegt automatisch het domein toe.
    • Inhoud/Doel: Plak de DKIM publieke sleutelwaarde (voor TXT) of de doelhostnaam (voor CNAME).
    • TTL: Auto is meestal prima, of volg specifieke instructies.
  • Zorg ervoor dat de Proxy-status is ingesteld op "Alleen DNS" (grijze wolk) voor DKIM-records.
  • Klik op Opslaan en geef DNS-propagatie de tijd.

DKIM-best practices

DKIM installeren en configureren is een goede eerste stap, maar om uw domein echt veilig te houden en ervoor te zorgen dat uw e-mails in de inbox terechtkomen, moet u het systeem goed onderhouden. E-mailbedreigingen veranderen voortdurend, dus uw DKIM-configuratie moet worden gezien als een continu proces en niet als een eenmalige taak. Volg deze best practices om voorop te blijven lopen:

  • Deel of onthul uw privésleutel nooit: Behandel deze als een wachtwoord; alleen uw e-mailserviceprovider mag er toegang toe hebben.
  • Gebruik sterke DKIM-sleutels en duidelijke selectors: Gebruik altijd 2048-bits sleutels voor een sterkere cryptografische bescherming. Beschrijvende selectors helpen bij het onderscheiden van sleutels tussen providers en vereenvoudigen het oplossen van problemen.
  • Controleer DKIM-authenticatieresultaten: Bekijk de resultaten van geslaagde en mislukte DKIM-authenticaties via DMARC-overzichtsrapporten om ondertekeningsfouten, DNS-problemen of ongeoorloofd gebruik vroegtijdig op te sporen.
  • Houd uw DNS-records schoon: Verwijder verouderde DKIM TXT-records uit eerdere rotaties of buiten gebruik gestelde diensten om verwarring en mogelijk misbruik te voorkomen.
Tip van een expert: Implementeer voor bedrijfsomgevingen een DKIM-sleutelbeheerbeleid dat regelmatige audits, geautomatiseerde monitoring en gedocumenteerde procedures voor sleutelrotatie voor alle e-maildiensten omvat.

Problemen met DKIM oplossen

Als DKIM is ingesteld maar niet werkt zoals verwacht, zijn er meestal een paar veelvoorkomende problemen de oorzaak. In dit gedeelte worden de meest voorkomende DKIM-problemen behandeld en hoe u deze kunt oplossen.

ProbleemOorzaakOplossing
Vertragingen bij DNS-propagatieWereldwijde DNS-updatetimingWacht 24-48 uur, gebruik externe DNS-tools
Onjuiste recordconfiguratieTypefouten, verkeerd formaat, ontbrekende tekensControleer de hostnaam en de syntaxis van de waarde nogmaals.
DKIM-verificatiefoutenSleutelconflict, wijziging van berichtControleer of de openbare sleutel overeenkomt met de privésleutel
Problemen met externe afzendersOntbrekende providerspecifieke instellingenVolg de DKIM-instructies van de provider
SelectieconflictenDNS-selector ≠ e-mailheader-selectorZorg ervoor dat de namen van de selectors exact overeenkomen

Versterk uw authenticatiekader met DKIM

DKIM is een cruciale bouwsteen voor het versterken van de e-mailbeveiliging van uw domein. Door de integriteit van uw e-mailcommunicatie te verifiëren met behulp van cryptografische handtekeningen, beschermt het de reputatie van uw merk en verdedigt het uw domein tegen spoofing en phishing aanvallen die gebruikmaken van vervalste afzenderinformatie.

Met miljoenen onbeveiligde domeinen wereldwijd en toenemende controle door mailboxproviders is het essentieel om te weten hoe u DKIM correct instelt. In combinatie met SPF en DMARC biedt DKIM betrouwbaardere bescherming en zorgt het voor meer vertrouwen in e-mail in het algemeen.

Start uw gratis proefperiode met PowerDMARC om uw DKIM-configuratie, monitoring en doorlopend beheer te vereenvoudigen.

Veelgestelde Vragen

1. Hoe stel ik DKIM in voor mijn e-mail?

Om DKIM voor uw e-mail in te stellen:

  • Genereer een DKIM-sleutelpaar via uw e-mailprovider
  • Kies een unieke selectienaam
  • Publiceer de openbare sleutel als een TXT-record in uw DNS.
  • Schakel DKIM-ondertekening in op uw mailserver
  • Test de configuratie met behulp van een DKIM-validatietool.

2. Hoe weet ik of DKIM correct is ingesteld?

U kunt de DKIM-configuratie controleren met behulp van online validatietools, door test-e-mails te versturen en de headers te controleren op 'dkim=pass'-resultaten, en door DMARC-aggregatierapporten te bekijken voor DKIM-authenticatiestatistieken voor al uw e-mailverkeer.

3. Wat is een voorbeeld van een DKIM-record?

Een typisch DKIM TXT-record ziet er als volgt uit: "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..." waarbij v=DKIM1 de versie is, k=rsa het sleuteltype aangeeft en p= de base64-gecodeerde openbare sleutel bevat.

4. Hoe lang duurt het voordat DKIM begint te werken?

Na het publiceren van de DKIM-openbare sleutel in DNS kan de verspreiding meestal enkele minuten tot maximaal 48 uur duren, afhankelijk van uw DNS-provider. Zodra het record zichtbaar is en DKIM-ondertekening is ingeschakeld op uw mailserver, worden alle nieuw verzonden e-mails ondertekend en geauthenticeerd.

5. Hoe controleer ik of mijn DKIM-instellingen werken?

U kunt DKIM verifiëren door een opzoektool te gebruiken om te controleren of het DNS-record correct is gepubliceerd. Vervolgens kunt u een test-e-mail versturen en de berichtkopteksten controleren op een dkim=pass-resultaat. U kunt ook vertrouwen op DMARC-aggregatierapporten, die u een breder beeld geven van de DKIM-authenticatieresultaten voor al uw e-mailverkeer, en niet alleen voor één enkel bericht.

6. Wat gebeurt er als de DKIM-verificatie mislukt?

Wanneer DKIM-verificatie mislukt, kunnen ontvangende mailservers het bericht als verdacht behandelen. Afhankelijk van spamfilterregels en DMARC-beleidsinstellingen kunnen e-mails worden gemarkeerd als spam, in quarantaine worden geplaatst of worden geweigerd, wat een negatieve invloed kan hebben op de leverbaarheid en de reputatie van de afzender.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Laatst bijgewerkt:
SPF-records instellen voor betere e-mailbeveiligingspf dkim dmarcSPF, DKIM, DMARC: wat ze zijn en waarom ze belangrijk zijn