DKIM of DomainKeys Identified Mail is een e-mailverificatieprotocol dat de authenticiteit van uitgaande e-mails verifieert. DKIM wordt ingesteld met behulp van een privé cryptografische sleutel die wordt gegenereerd door uw mailserver, die een digitale handtekening maakt op basis van de inhoud van de e-mail (een versleutelde hash). Deze handtekening wordt toegevoegd aan de e-mailheader. Door DKIM voor uw domein in te stellen, kunnen ontvangende servers een overeenkomstige openbare sleutel gebruiken, die is gepubliceerd in uw DNS, om te verifiëren dat de e-mails die ze ontvangen afkomstig zijn van uw geautoriseerde mailserver, dat er niet mee is geknoeid tijdens het transport en dat ze niet vervalst zijn.
Een goede DKIM-configuratie is essentieel voor het verbeteren van e-mailbeveiligingde deliverability te verbeteren en spoofing-aanvallen te voorkomen. Daarom biedt deze handleiding een eenvoudig actieplan om DKIM stap voor stap in te stellen voor uw domein. Laten we beginnen!
Belangrijkste opmerkingen
- DKIM gebruikt cryptografische handtekeningen (publieke/private sleutels) om de authenticiteit en integriteit van e-mails te verifiëren en geknoei te voorkomen.
- Een juiste DKIM-configuratie verbetert de bezorgbaarheid van e-mail aanzienlijk door het aantal spamfilters te verminderen en de reputatie van de afzender te verbeteren.
- Het instellen van DKIM omvat het genereren van een sleutelpaar, het publiceren van de openbare sleutel in DNS en het configureren van mailservers om e-mails te ondertekenen met de privésleutel.
- Combineer DKIM met SPF en DMARC, gebruik sterke (2048-bits) selectors en rouleer sleutels regelmatig (mogelijk met behulp van meerdere records) voor maximale bescherming.
- Geautomatiseerde tools en beheerde services zoals PowerDMARC vereenvoudigen het instellen, valideren en beheren van DKIM, waardoor er minder fouten worden gemaakt en er minder inspanningen nodig zijn.
Vereenvoudig DKIM met PowerDMARC!
Waarom DKIM instellen essentieel is
Verbeterde bezorgbaarheid van e-mails
Het configureren van DKIM, samen met ondersteunende protocollen zoals SPF en DMARC, kan een aanzienlijke boost geven aan de deliverability van je e-mail, waardoor je berichten de inbox bereiken in plaats van te worden gemarkeerd door spamfilters op services zoals Gmail, Outlook en Yahoo! Mail.
Verbeterde afzenderreputatie
Authenticatie speelt een belangrijke rol bij het onderhouden en verbeteren van je afzenderreputatie door de kans te verkleinen dat je als spam wordt gemarkeerd.
Voorkomen van geknoei met e-mail
DKIM helpt voorkomen dat er tijdens het transport met berichten wordt geknoeid. Dit betekent dat als een aanvaller probeert uw gesprek af te luisteren en er kwaadaardige code in op te nemen, DKIM helpt om het bericht als onbetrouwbaar te identificeren. De cryptografische handtekening zorgt ervoor dat de inhoud van de e-mail niet is gewijzigd sinds de ondertekening door de afzender.
Meer vertrouwen van ontvangers
DKIM in combinatie met andere protocollen voor e-mailverificatie zorgen voor vertrouwen bij uw ontvangers, waardoor uw e-mailbetrokkenheid en deliverability toenemen.
Afstemming op best practices en vereisten voor e-mailbeveiliging
Het implementeren van DKIM brengt je domein op één lijn met de best practices in de branche voor e-mailbeveiliging en helpt om te voldoen aan de verificatievereisten van de belangrijkste postbusproviders, vooral in combinatie met SPF en DMARC.
DKIM instellen: Een stap-voor-stap handleiding
1. Uw DKIM record aanmaken
Maak uw DKIM record met onze DKIM record generator. De tool helpt u direct uw DKIM sleutelpaar te genereren, dat uw DKIM publieke en private sleutels bevat. Het wordt aanbevolen om sleutels te genereren met een lengte van 2048 bits voor een betere beveiliging.
2. Toegang tot uw DNS-beheerconsole
Om te beginnen heb je toegang nodig tot je Domain Name System. Je kunt contact opnemen met je DNS-provider of host om je hierbij te helpen.
3. Het DKIM Record toevoegen aan uw DNS-instellingen
Publiceer de DKIM publieke sleutel (meestal als een TXT of CNAME record) in je DNS instellingen onder de selectornaam die je hebt gekozen (bijvoorbeeld `s1._domainkey.yourdomain.com`). Sla de wijzigingen op. Configureer uw e-mailverzendserver(s) om de bijbehorende privésleutel te gebruiken om uw uitgaande berichten te ondertekenen.
4. Uw DKIM-configuratie controleren
Nadat u uw DKIM-record hebt geconfigureerd en de tijd hebt genomen voor DNS-propagatie (wat tot 48 uur kan duren), controleert u het met onze DKIM-controleprogramma. Deze tool zal je vertellen of je record geldig is, geen fouten bevat en correct is ingesteld!
Wilt u uw DKIM installatie- en beheerproces automatiseren? Ga aan de slag met Hosted DKIM gratis!
DKIM-configuratie voor populaire e-mailservices
Als je verschillende e-maildiensten gebruikt om je zakelijke of commerciële e-mails te versturen, moet je DKIM voor hen instellen. Dit zorgt ervoor dat uw e-maildienst compatibele e-mails verstuurt naar uw ontvangers, waardoor de deliverability van uw e-mails toeneemt.
1. DKIM-instelling voor Google Workspace
- Controleer of DKIM al is ingesteld voor uw domein met onze DKIM-validatietool.
- Als je Google Workspace niet gebruikt, kun je de DKIM-generator van PowerDMARC gebruiken om je record te maken.
- Als u Google Workspace gebruikt, meldt u zich aan bij Google Admin Console
- Ga naar Menu > Apps > Google Workspace> Gmail.
- Klik op E-mail verifiëren
- Selecteer uw domein uit de lijst en klik op de knop Nieuw record genereren om te beginnen met het maken van een record. Google levert meestal een sleutel van 2048 bits.
- Eenmaal gegenereerd, kopieer je de DNS Host naam (TXT record naam) en TXT record waarde (de publieke sleutel).
- Publiceer het TXT-record in je DNS-instellingen en sla de wijzigingen op. Wacht op DNS-propagatie.
- Ga terug naar de Google beheerconsole en klik op "Authenticatie starten".
2. DKIM instellen voor Microsoft Office 365
- Ga naar E-mail verificatie instellingen in het Defender portaal.
- Op het tabblad DKIM tabbladSelecteer het aangepaste domein dat u wilt configureren (klik ergens op de rij behalve op het selectievakje).
- Controleer de status in het vervolgmenu met domeingegevens dat wordt weergegeven. Als er staat "Geen DKIM-sleutels opgeslagen voor dit domein", klikt u op DKIM-sleutels maken.
- Kopieer de CNAME-recordwaarden in het dialoogvenster. Er zijn nu twee hostnamen en hun corresponderende point-to adressen.
- Open de website van uw domeinregistratiekantoor en maak de twee vereiste CNAME records met de gekopieerde waarden. Bijvoorbeeld:
- Hostnaam: selector1._domainkey → Waarde: selector1-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
- Hostnaam: selector2._domainkey → Waarde: selector2-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
- Wacht enkele minuten (of langer) op DNS-propagatie.
- Ga terug naar het vervolgmenu met domeindetails in de Defender-portal. Schakelen Berichten voor dit domein ondertekenen met DKIM-handtekeningen naar Ingeschakeld (als dit nog niet het geval is). Als de CNAME-records zijn gedetecteerd, zou de status moeten worden bijgewerkt.
- Controleren:
- Toggle is ingesteld op Ingeschakeld.
- Status is DKIM-handtekeningen voor dit domein ondertekenen.
- Datum laatste controle geeft een recente controle weer.
3. DKIM instellen voor Godaddy
Het proces voor GoDaddy bestaat uit het toevoegen van het DKIM-record (meestal een TXT- of CNAME-record dat door je e-mailserviceprovider wordt geleverd of door een tool wordt gegenereerd) aan de DNS-instellingen van je domein.
- Log in op je GoDaddy-account.
- Ga naar de pagina Domeinportfolio en selecteer je domein.
- Selecteer DNS in het menu aan de linkerkant.
- Klik op "Nieuw record toevoegen".
- Voer de gegevens in die worden verstrekt door uw DKIM-installatie-instructies:
Type: Selecteer TXT of CNAME zoals vereist.
Naam: Voer de opgegeven hostnaam/naam in (bijv, selector._domainkey. GoDaddy voegt vaak automatisch je domeinnaam toe).
Waarde: Plak de DKIM publieke sleutelwaarde of de doel CNAME waarde.
TTL: Gebruik de standaardwaarde (meestal 1 uur) of volg specifieke instructies.
- Klik op "Opslaan". Laat DNS-propagatie even op zich wachten.
4. DKIM instellen voor Cloudflare
Net als bij GoDaddy moet DKIM bij Cloudflare worden ingesteld door het specifieke DNS-record toe te voegen dat door uw e-mailservice of DKIM-generatietool wordt geleverd.
- Log in bij Cloudflare.
- Selecteer je account en domein.
- Ga naar DNS → Records.
- Klik op "Record toevoegen".
- Voer de gegevens voor uw DKIM record in:
- Type: Selecteer TXT of CNAME zoals vereist.
- Naam: Voer de hostnaam in (bijv. `selector._domainkey`). Cloudflare voegt automatisch het domein toe.
- Inhoud/Doel: Plak de DKIM publieke sleutelwaarde (voor TXT) of de doelhostnaam (voor CNAME).
- TTL: Auto is meestal prima, of volg specifieke instructies.
- Zorg ervoor dat de Proxy-status is ingesteld op "Alleen DNS" (grijze wolk) voor DKIM-records.
- Klik op Opslaan en geef DNS-propagatie de tijd.
(Opmerking: De oorspronkelijke Cloudflare-sectie beschreef DMARC setup. De bovenstaande stappen zijn gecorrigeerd voor DKIM-instellingen in Cloudflare).
Hoe uw DKIM-selector te identificeren
Een veelgestelde vraag van domeineigenaren is "Hoe vind ik mijn DKIM selector"? De selector is onderdeel van de DKIM handtekening die is toegevoegd aan de headers van uw e-mail en komt overeen met het specifieke public key record in uw DNS. Om uw DKIM selector te vinden voor een e-mail die u hebt ontvangen of verzonden:
1) Stuur een testmail van het geconfigureerde domein/service naar een account waartoe u toegang hebt (zoals Gmail).
2) Open de e-mail in je inbox (bijv. Gmail).
3) Klik op de drie verticale stippen (Meer opties) naast de knop Antwoorden.
4) Selecteer "Origineel weergeven".
5) Zoek op de "Original Message" pagina naar de `DKIM-Signature` header. Zoek binnen deze header naar de `s=` tag. De waarde die aan deze tag is toegewezen is je DKIM selector (bijvoorbeeld `s=s1` betekent dat de selector `s1` is).
Uitdagingen van handmatig DKIM instellen
Het handmatig configureren van DKIM kan complex en foutgevoelig zijn. Hier zijn enkele belangrijke uitdagingen:
- Het handmatig genereren, opslaan en roteren van cryptografische sleutels vereist expertise en zorgvuldige behandeling om beveiligingsrisico's te vermijden.
- DKIM-records moeten nauwkeurig worden toegevoegd aan DNS-instellingen. Een enkele typefout of onjuiste opmaak kan leiden tot mislukte verificatie, waardoor e-mails als spam worden gemarkeerd of worden geweigerd.
- Regelmatige sleutelrotatie is noodzakelijk voor de beveiliging, maar handmatige updates kunnen over het hoofd worden gezien, verkeerd worden uitgevoerd of downtime veroorzaken als ze niet zorgvuldig worden beheerd.
- Het diagnosticeren van problemen met DKIM, zoals mislukte handtekeningverificatie of DNS-configuratieproblemen, kan moeilijk en tijdrovend zijn, vooral als er met meerdere e-mailproviders of services van derden wordt gewerkt.
- Handmatige instelling en onderhoud vereisen veel tijd en technische inspanning, waardoor het risico op verkeerde configuraties en operationele inefficiënties toeneemt.
Voordelen van automatisering
- Het automatiseren van DKIM-beheer is een snellere manier om uw DKIM-instellingen te implementeren en te bewaken, zonder het gedoe van handmatige ingrepen zoals het genereren van sleutels en DNS-updates.
- Geautomatiseerde oplossingen zijn veel nauwkeuriger omdat ze de kans op menselijke fouten bij het aanmaken en configureren van records minimaliseren.
- Gebruiksgemak is een andere factor die geautomatiseerde oplossingen tot een verleidelijk alternatief maakt voor bedrijven die hun handmatige inspanningen en vereiste technische expertise willen verminderen.
- Geautomatiseerd DKIM-beheer kan de beveiliging verbeteren door regelmatige DKIM-sleutelrotatie te vereenvoudigen en aan te moedigen.
Hoe PowerDMARC DKIM-instellingen vereenvoudigt
Geautomatiseerde DKIM-sleutelgeneratie
PowerDMARC's DKIM generator genereert automatisch veilige cryptografische DKIM sleutels (met ondersteuning voor 1024 en 2048 bits), waardoor het risico op handmatige fouten wordt weggenomen. Onze Hosted DKIM service automatiseert het sleutelbeheer nog verder.
Vereenvoudigde DNS-recordconfiguratie
Gebruikers ontvangen een kant-en-klaar DKIM-record voor hun DNS, zodat ze niet handmatig TXT- of CNAME-vermeldingen hoeven aan te maken of problemen hoeven op te lossen. Stapsgewijze begeleiding zorgt voor een snelle en foutloze implementatie.
Eenvoudige DKIM-verificatie en bewaking
Ons platform bevat tools voor real-time verificatie om ervoor te zorgen dat DKIM correct is ingesteld en naar verwachting functioneert. DMARC-rapporten die door PowerDMARC worden geanalyseerd, bieden inzicht in de resultaten van DKIM-verificatie en helpen gebruikers waarschuwingen te ontvangen als verificatie mislukt, zodat problemen direct kunnen worden opgelost.
Gecentraliseerd DKIM-beheer
Beheer meerdere DKIM-sleutels en -domeinen vanuit één enkele Gehost DKIM dashboard met inzicht in sleutelstatus, gebruik en vereenvoudigde rotatiegeschiedenis, waardoor beveiliging en controle worden verbeterd zonder dat directe DNS-toegang nodig is voor updates.
DKIM Best Practices voor sterkere e-mailverificatie
De volgende best practices kunnen uw DKIM-verificatie nog verder verbeteren:
1. DKIM sleutelrotatie
Regelmatig DKIM-sleutelrotatie minimaliseert het risico op compromittering als een privésleutel wordt blootgesteld. De beste praktijk is om sleutels elke 6-12 maanden te roteren, of zelfs vaker. Geautomatiseerde oplossingen zoals PowerDMARC zorgen voor eenvoudig beheer van DKIM-sleutels zonder handmatige tussenkomst. Het instellen van meerdere DKIM-records kan ook zorgen voor een soepelere sleutelrotatie, zodat een nieuwe sleutel kan worden gepubliceerd voordat de oude wordt verwijderd.
2. Sterke DKIM-selectors en -sleutels
Het gebruik van unieke en beschrijvende DKIM selectors (bijv. `selector1`, `google`, `sendgrid`) verbetert de organisatie en probleemoplossing in vergelijking met generieke selectors. Het wordt sterk aangeraden om 2048-bits sleutels te gebruiken voor verbeterde cryptografische beveiliging ten opzichte van de oudere 1024-bits standaard.
3. DKIM-authenticatie bewaken
Controleer regelmatig de resultaten van DKIM-verificatie met behulp van DMARC samengevoegde rapporten om authenticatiefouten of ongeautoriseerd gebruik van uw domein te detecteren. Gebruik monitoring tools en DKIM validators om periodiek te controleren of DKIM handtekeningen correct worden toegepast en de verificatie doorstaan.
4. DKIM combineren met SPF en DMARC
Het gebruik van DKIM naast SPF (Sender Policy Framework) en DMARC (Domain-based Message Authentication, Reporting, and Conformance) zorgt voor gelaagde e-mailbeveiliging. SPF verifieert verzendende IP's, DKIM verifieert berichtintegriteit en DMARC zorgt voor handhaving van het beleid en rapportage, wat uitgebreide bescherming biedt tegen spoofing en phishing.
Problemen met DKIM oplossen
- DNS Propagatievertragingen: Nieuw gepubliceerde of bijgewerkte DKIM-records kunnen tijd nodig hebben (minuten tot 48 uur) om te verspreiden over wereldwijde DNS-servers. Het is belangrijk om voldoende te wachten en de aanwezigheid van records te verifiëren met behulp van externe DNS-opzoektools voordat u uitgaat van een configuratiefout.
- Onjuiste DKIM Recordconfiguratie: Typos in de selectornaam, ontbrekende tekens in de waarde van de openbare sleutel, onjuist recordtype (TXT vs. CNAME) of verkeerd geformatteerde records kunnen tot fouten leiden. Controleer de hostnaam en waarde zorgvuldig aan de hand van de meegeleverde instructies voordat u deze publiceert op uw DNS.
- DKIM-verificatie mislukt (`dkim=fail`): Als DKIM-verificatie mislukt, kunnen e-mails als spam worden gemarkeerd of worden geweigerd. Mogelijke oorzaken zijn een onjuiste openbare sleutel in DNS, een verkeerde combinatie van de privésleutel op de verzendende server, berichtaanpassing door tussenpersonen (hoewel DKIM is ontworpen om dit te detecteren) of een te strenge verificatie door de ontvanger. Controleer de DKIM signature headers in de e-mailbron, controleer of de publieke sleutel in DNS overeenkomt met de bedoelde sleutel en analyseer DMARC-rapporten op foutpatronen.
- Problemen met afzenders van e-mails van derden: Wanneer u gebruik maakt van externe aanbieders (zoals Mailchimp, SendGrid, Office 365), zorg er dan voor dat u hun specifieke DKIM instellingsinstructies volgt. Sommige vereisen het gebruik van CNAME-records die naar hun domein verwijzen, terwijl andere u toestaan een TXT-record te publiceren met een sleutel die zij verstrekken of die u zelf genereert. Controleer of de provider DKIM ondersteunt voor je verzenddomein.
- Selector problemen: Het gebruik van de verkeerde selectornaam in het DNS-record (komt niet overeen met de `s=` tag in de e-mailheader) veroorzaakt authenticatiefouten. Controleer of de in DNS gepubliceerde selectornaam overeenkomt met de naam die door de verzendservice in de e-mailheaders wordt gebruikt.
Veelgestelde vragen over DKIM-instellingen
1. Hoe lang duurt het voordat DKIM begint te werken?
Nadat je het DKIM publieke sleutelrecord in je DNS hebt gepubliceerd, moet het zich verspreiden over de DNS-servers op het internet. Dit kan een paar minuten tot 48 uur duren, maar vaak gaat het veel sneller. Zodra het record publiekelijk zichtbaar is en je e-mailserver is geconfigureerd om e-mails te ondertekenen, zal DKIM actief zijn voor volgende e-mails die vanaf die geconfigureerde bron worden verzonden.
2. Hoe controleer ik of mijn DKIM-instelling werkt?
Je kunt de DKIM setup op verschillende manieren controleren: gebruik een online DKIM checker tool (zoals die van PowerDMARC) om het gepubliceerde record in DNS op te zoeken; stuur een test e-mail naar een service als Gmail en controleer de 'Original Message' headers op een `dkim=pass` status in de `Authentication-Results` header; of controleer je DMARC aggregate rapporten, die DKIM pass/fail resultaten tonen voor de e-mails van je domein.
3. Wat gebeurt er als DKIM-verificatie mislukt?
Als DKIM-verificatie mislukt (`dkim=fail`), kunnen ontvangende servers de e-mail met meer argwaan behandelen. Dit kan ertoe leiden dat het bericht wordt gemarkeerd als spam, in quarantaine wordt geplaatst of mogelijk wordt geweigerd, vooral als DMARC ook is geconfigureerd met een `quarantaine` of `weigeren` beleid en SPF ook faalt (of niet is uitgelijnd). Als DKIM mislukt, heeft dit een negatieve invloed op de reputatie en deliverability van de afzender.
4. Kan ik meerdere DKIM selectors gebruiken voor hetzelfde domein?
Ja, u kunt en moet absoluut meerdere DKIM-selectors voor hetzelfde domein gebruiken. Dit is nodig wanneer u e-mail verzendt via verschillende services (bijv. Google Workspace, Salesforce, een marketingplatform), omdat voor elke service een eigen sleutel/selector nodig kan zijn. Het is ook de beste praktijk voor sleutelrotatie, zodat u een nieuwe sleutel met een nieuwe selector kunt introduceren voordat u de oude buiten gebruik stelt.
5. Wat zijn de meest voorkomende fouten die je moet vermijden bij het instellen van DKIM?
Veelgemaakte fouten zijn onder andere: syntaxisfouten in het DNS-record (typefouten, extra spaties, onjuist citeren); het verkeerde recordtype publiceren (TXT vs CNAME); selectorfouten tussen het DNS-record en de e-mailhandtekening; vergeten DKIM-ondertekening in te schakelen op het verzendplatform nadat het DNS-record is gepubliceerd; slechts een deel van een lange openbare sleutelwaarde kopiëren; en niet lang genoeg wachten op DNS-propagatie voordat u resultaten test of verwacht. Het niet gebruiken van 2048-bits sleutels wanneer beschikbaar is ook een gemiste kans voor betere beveiliging.
Laatste gedachten
DKIM vormt een sterke bouwsteen voor het versterken van de e-mailbeveiliging van uw domein. Door de integriteit van uw e-mailcommunicatie te waarborgen met behulp van cryptografische verificatie, beschermt u uw merkreputatie tegen schade en uw domein tegen spoofing- en phishing-aanvallen die vertrouwen op vervalste afzenderinformatie. Met miljoenen onbeveiligde domeinen wereldwijd en een toenemend toezicht van postbusproviders is het nu tijd om uw beveiliging te verbeteren in plaats van achterop te raken. Zet de eerste stap naar sterkere authenticatie door DKIM correct te implementeren, idealiter naast SPF en DMARC. Start uw gratis proefperiode met PowerDMARC om het proces te vereenvoudigen!
- DMARC fout-positieven: Oorzaken, oplossingen en preventiegids - 13 juni 2025
- Nieuw-Zeelandse overheid verplicht DMARC onder nieuw veilig e-mailraamwerk - 9 juni 2025
- Wat is e-mail spoofing? - 29 mei 2025