DKIM instellen voor Office 365: ondertekening configureren voor Microsoft 365
door
Laatst bijgewerkt: 10 leestijd: 10 minuten
Belangrijkste Conclusies
- DKIM voegt een digitale handtekening toe aan uitgaande e-mails, zodat ontvangende servers kunnen controleren of het bericht afkomstig is van een geautoriseerde bron en tijdens het verzenden niet is gewijzigd.
- Microsoft 365 regelt DKIM automatisch voor domeinen van onmicrosoft.com. Handmatige configuratie is alleen nodig voor aangepaste domeinen; hiervoor moet u twee CNAME-records aanmaken in uw DNS.
- DKIM-ondertekening wordt ingeschakeld via het Microsoft Defender-portaal nadat de CNAME-records zijn gepubliceerd en gedetecteerd.
- DKIM alleen is niet voldoende. Het moet altijd samen met SPF en DMARC worden geconfigureerd voor een volledige e-mailverificatie en domeinbeveiliging.
- DKIM-sleutels moeten om de één à twee jaar worden vernieuwd om een hoge mate van e-mailbeveiliging te waarborgen.
Als u e-mails verstuurt via Microsoft 365 en DKIM niet hebt geconfigureerd voor uw eigen domein, worden uw e-mails zonder digitale handtekening verzonden. Dit betekent dat ontvangende servers niet kunnen controleren of uw berichten tijdens het verzenden zijn gewijzigd, waardoor uw domein kwetsbaarder is voor spoofing.
Het instellen van DKIM voor Office 365 is een van de belangrijkste stappen bij het opzetten van een veilige en betrouwbare e-mailomgeving.
In deze handleiding wordt alles uitgelegd: wat DKIM precies doet, hoe Microsoft 365 hiermee omgaat en hoe u het precies voor uw eigen domein kunt configureren.
Wat is DKIM en waarom is het belangrijk voor Microsoft 365?
Voordat we het installatieproces doorlopen, is het goed om te weten wat DKIM precies doet en waarom het een essentieel onderdeel is van de configuratie van uw Microsoft 365-e-mail.
DomainKeys Identified Mail (DKIM) is een e-mailverificatieprotocol dat een cryptografische digitale handtekening toevoegt aan elke uitgaande e-mail. Wanneer een bericht wordt verzonden, gebruikt het ondertekenende domein een privésleutel om de handtekening te genereren.
De ontvangende server haalt vervolgens de bijbehorende openbare sleutel op uit het DNS en gebruikt deze om te controleren of de berichttekst en de headers tijdens de overdracht niet zijn gewijzigd.
Wat DKIM voor uw e-mail doet
| Voordeel | Hoe het werkt |
|---|---|
| Controleert de integriteit van het bericht | Een cryptografische handtekening bevestigt dat het bericht na verzending niet is gewijzigd |
| Voorkomt domeinspoofing | Dit maakt het voor aanvallers aanzienlijk moeilijker om e-mails vanuit uw domein te vervalsen |
| Verbetert de bezorgbaarheid van e-mail | Geverifieerde e-mails worden minder snel als spam gemarkeerd door Gmail, Yahoo en andere providers |
| Versterkt het vertrouwen in de afzender | Een geldige DKIM-handtekening geeft aan dat het ondertekenende domein de verantwoordelijkheid voor het bericht op zich neemt |
| Schakelt DMARC-handhaving in | DKIM is een vereiste voor een correcte werking van DMARC |
De rol van DKIM naast SPF en DMARC
DKIM werkt samen met SPF en DMARC om een compleet e-mailverificatiesysteem te vormen. Elk protocol bestrijkt een andere laag:
- SPF controleert of de verzendende server bevoegd is om e-mail te verzenden voor uw domein
- DKIM controleert of de inhoud van het bericht tijdens het verzenden niet is gewijzigd
- DMARC handhaaft het beleid door te eisen dat SPF en DKIM overeenkomen met het 'Van'-adres
Om ervoor te zorgen dat DKIM de DMARC-controles doorstaat, moet het domein in het ‘Van’-adres overeenkomen met het domein dat in de DKIM-handtekening wordt gebruikt. Deze vereiste van overeenstemming is de reden waarom de combinatie van SPF, DKIM en DMARC zo effectief maakt tegen phishingaanvallen en spoofing.
DKIM alleen is niet voldoende om alle vormen van e-mailspoofing te voorkomen. Voor volledige bescherming moet het in combinatie met SPF en DMARC worden gebruikt. Verderop in deze handleiding leggen we uit hoe u DMARC kunt implementeren naast uw Microsoft 365 DKIM-configuratie.
Hoe Microsoft 365 omgaat met DKIM
Als u weet hoe Microsoft 365 DKIM standaard beheert, voorkomt u onnodige verwarring tijdens de installatie.
Wat Microsoft automatisch afhandelt
Microsoft schakelt DKIM-ondertekening automatisch in voor het eerste onmicrosoft.com-domein dat aan uw Microsoft 365-tenant is gekoppeld. Als u alleen e-mails verstuurt vanaf yourcompany.onmicrosoft.com, werkt DKIM al zonder dat u iets handmatig hoeft in te stellen.
Wat moet handmatig worden ingesteld
Voor elk aangepast domein dat u gebruikt om e-mail te versturen, is een handmatige DKIM-configuratie vereist.
Als uw organisatie e-mails verstuurt via een eigen domein, zoals uwbedrijf.com, moet u CNAME-records in uw DNS aanmaken en DKIM-ondertekening inschakelen via de Microsoft Defender-portal.
Elk subdomein dat wordt gebruikt om e-mail te verzenden vanuit Microsoft 365, vereist ook een eigen DKIM-configuratie. DKIM wordt niet automatisch doorgegeven van een hoofddomein naar de subdomeinen.
Het systeem met twee selectieknoppen
Microsoft 365 gebruikt voor elk aangepast domein twee DKIM-selectors: selector1 en selector2.
Door twee selectors te gebruiken, kan Microsoft DKIM-sleutels automatisch rouleren voor een betere beveiliging. Wanneer u DKIM instelt, maakt u voor beide selectors CNAME-records aan die verwijzen naar de openbare sleutels die door Microsoft 365 zijn gegenereerd.
| Inzicht van een expert: “Uit mijn ervaring met het helpen van organisaties bij de implementatie van DKIM blijkt dat het automatiseren van DKIM-monitoring met PowerDMARC niet alleen tijd bespaart, maar ook helpt om configuratiefouten op te sporen voordat deze de afleverbaarheid van e-mail beïnvloeden. Dit is met name van cruciaal belang voor SaaS-bedrijven en gereguleerde sectoren waar de betrouwbaarheid van e-mail van het grootste belang is.” |
Vereisten voor het instellen van DKIM in Office 365
Controleer, voordat u begint met het instellen van DKIM, of aan de volgende voorwaarden is voldaan.
| Voorwaarde | Details |
|---|---|
| Beheerdersrechten | Voor het uitvoeren van de stappen voor het instellen van DKIM is de rol van Global Administrator of Exchange Administrator vereist |
| Aangepast domein geverifieerd | Uw aangepaste domein moet in Microsoft 365 worden geverifieerd voordat DKIM kan worden geconfigureerd |
| Toegang tot DNS | Je hebt toegang nodig tot je domeinregistrar of DNS-hostingprovider om CNAME-records te publiceren |
| SPF geconfigureerd | SPF moet al voor uw domein zijn ingesteld voordat u DKIM inschakelt |
Als SPF nog niet is geconfigureerd voor uw domein, moet u dat eerst doen. Raadpleeg onze handleiding voor stapsgewijze instructies over het instellen van SPF.
DKIM instellen voor Office 365: stap voor stap
Het instellen van DKIM voor een eigen domein in Microsoft 365 bestaat uit drie belangrijke stappen: het ophalen van de waarden van uw CNAME-records via het Microsoft Defender-portaal, het publiceren van die records in uw DNS en het inschakelen van DKIM-ondertekening zodra de records zijn gedetecteerd.
Het proces is eenvoudig, maar vereist bij elke stap nauwkeurigheid. Typefouten in je CNAME-waarden zijn de meest voorkomende reden waarom de DKIM-configuratie mislukt, dus neem de tijd voor de DNS-configuratie.
Stap 1: Haal de waarden van je DKIM CNAME-records op bij Microsoft 365
Microsoft 365 genereert precies de CNAME-recordwaarden die u in uw DNS moet publiceren. U vindt ze als volgt:
- Meld je aan bij het Microsoft Defender-portaal
- Ga naar E-mail en samenwerking > Beleid en regels > Beleid inzake bedreigingen
- Selecteer Instellingen voor e-mailverificatie
- Klik op de DKIM tabblad
- Kies uw eigen domeinnaam uit de lijst
- Open het uitklapmenu met details voor dat domein
Het portaal toont de twee CNAME-recordwaarden die je nodig hebt. Als DKIM nog niet kan worden ingeschakeld, geeft het portaal aan welke waarden je in de CNAME-records moet gebruiken.
De basissyntaxis van de DKIM CNAME-records voor aangepaste domeinen volgt deze indeling:
| Hostnaam | Verwijst naar |
|---|---|
| selector1._domainkey.uwdomein.com | selector1-uwdomein-com._domainkey.uwtenantnaam.onmicrosoft.com |
| selector2._domainkey.uwdomein.com | selector2-uwdomein-com._domainkey.uwtenantnaam.onmicrosoft.com |
Gebruik altijd de exacte waarden die in het Defender-portaal voor uw specifieke domein en tenant worden weergegeven, en geen algemeen sjabloon.
Stap 2: Maak de CNAME-records aan in uw DNS
Log in bij uw domeinregistrar of DNS-hostingprovider en maak twee nieuwe CNAME-records aan met de waarden uit de vorige stap.
Belangrijke punten om te controleren bij het toevoegen van de records:
- Het recordtype moet worden ingesteld op CNAME, niet op TXT of een ander type
- De waarden voor de hostnaam moeten het volledige selectorvoorvoegsel bevatten: selector1._domainkey en selector2._domainkey
- Controleer de CNAME-waarden zorgvuldig op typefouten. Fouten bij de domeinregistrar zijn de meest voorkomende oorzaak van mislukte DKIM-configuraties
- Voeg geen meerdere tegenstrijdige records toe voor dezelfde hostnaam
Het kan tot 48 uur duren voordat DNS-wijzigingen wereldwijd zijn doorgevoerd, hoewel dit vaak veel sneller gaat. Het kan enkele minuten tot een paar uur duren voordat Microsoft 365 de nieuwe CNAME-records heeft gedetecteerd.
Stap 3: Schakel DKIM-ondertekening in via het Microsoft Defender-portaal
Zodra uw CNAME-records zijn gepubliceerd en doorgevoerd, keert u terug naar het tabblad DKIM in het Microsoft Defender-portaal:
- Kies uw eigen domeinnaam
- Open het uitklapmenu met details
- Schakelen Berichten voor dit domein ondertekenen met DKIM-handtekeningen naar ingeschakeld
De status van het domein op het tabblad DKIM moet geldige waarden weergeven om DKIM-ondertekening in te schakelen. Als het portaal uw CNAME-records niet kan detecteren, wordt er een foutmelding weergegeven samen met de verwachte waarden. Controleer nogmaals of uw DNS-records correct zijn voordat u het opnieuw probeert.
Nadat u DKIM hebt ingeschakeld, kan het even duren voordat de status is bijgewerkt en bevestigd dat DKIM-handtekeningen worden toegepast op uitgaande berichten.
Stap 4: Controleer of DKIM werkt
Om te controleren of DKIM-ondertekening is ingeschakeld, verstuurt u een test-e-mail vanaf uw eigen domein naar een Gmail-adres en bekijkt u de berichtkop:
- Open de ontvangen e-mail in Gmail
- Klik op het menu met de drie puntjes en selecteer Origineel weergeven
- Zoek naar de DKIM-Signature in de ruwe berichtheader
- Controleer of de DKIM-handtekening aanwezig is en of de waarde van `d=` overeenkomt met uw eigen domein
- De s= waarde in de DKIM-Signature-header geeft aan welke selector momenteel in gebruik is
Een geslaagde DKIM-uitslag in de berichtkop bevestigt dat DKIM-ondertekening actief is en correct werkt voor uw eigen domein.
| Hulp nodig bij het oplossen van DKIM-problemen? Onze e-mailbeveiligingsexperts bij PowerDMARC kunnen u helpen om problemen met de DKIM-configuratie snel op te lossen. Start uw gratis proefperiode voor deskundige ondersteuning en geautomatiseerde monitoring. |
DKIM configureren met PowerShell
Voor gevorderde gebruikers en beheerders biedt Exchange Online PowerShell krachtige tools om e-mailinstellingen te beheren en te configureren, waaronder DKIM. Met PowerShell-opdrachten kunt u de DKIM-configuratie automatiseren, DKIM-ondertekening voor uw aangepaste domeinen in- of uitschakelen en problemen efficiënt oplossen. Dit is vooral handig bij het beheren van meerdere domeinen of complexe omgevingen.
U kunt PowerShell gebruiken om de DKIM-configuratie voor Exchange Online in Office 365 in te schakelen, met name als u dit voor meerdere domeinen wilt doen. Ga hiervoor als volgt te werk:
1. Maak verbinding met Exchange Online
2. Extraheer uw Office 365 DKIM selectors door het volgende script uit te voeren:
3. Voeg de CNAME-records die u van Office 365 hebt gekregen toe aan uw DNS
4. Voer de volgende opdracht uit om DKIM in te schakelen voor het domein:
Belangrijke aandachtspunten en beperkingen bij de implementatie van DKIM
DKIM is een krachtige e-mailverificatieprotocol , maar het kent technische beperkingen die belangrijk zijn om te begrijpen vóór en tijdens de implementatie.
Als u van tevoren op de hoogte bent van deze beperkingen, kunt u veelvoorkomende valkuilen vermijden, uw configuratie goed plannen en realistische verwachtingen koesteren over wat DKIM op zichzelf wel en niet kan voorkomen.
| Overweging | Wat u moet weten |
|---|---|
| Sleutellengte | Microsoft 365 maakt standaard gebruik van 2048-bits cryptografische sleutels, wat uitgaande berichten krachtig beveiligt |
| DNS-verspreiding | Nadat u uw CNAME-records hebt gepubliceerd, kan het tot 48 uur duren voordat de DNS-wijzigingen wereldwijd zijn doorgevoerd, hoewel dit vaak veel sneller gaat |
| DKIM-sleutelrotatie | Vervang DKIM-sleutels om de één à twee jaar om een hoge mate van e-mailbeveiliging te waarborgen en het risico te verkleinen dat oude sleutels worden misbruikt |
| Meerdere domeinen | Elk aangepast domein dat wordt gebruikt om e-mail te versturen, vereist een eigen, afzonderlijke DKIM-configuratie. DKIM wordt niet automatisch doorgevoerd van een hoofddomein naar de subdomeinen daarvan |
| Ongebruikte domeinen | Publiceer geen DKIM-records voor domeinen die nooit e-mail versturen. Als je dat wel doet, kan er DKIM-validatie plaatsvinden voor vervalste berichten die vanaf die domeinen worden verzonden |
Beperkingen van DKIM
Het is net zo belangrijk om te begrijpen waar DKIM tekortschiet als te weten wat het wel doet. Juist vanwege deze beperkingen moet DKIM altijd samen met SPF en DMARC worden geïmplementeerd, in plaats van als een op zichzelf staande oplossing te worden beschouwd.
E-mail doorsturen
DKIM-handtekeningen kunnen bij het doorsturen van e-mails ongeldig worden. Wanneer een bericht wordt doorgestuurd, wijzigen sommige mailservers de koptekst of de hoofdtekst van het bericht op een manier waardoor de oorspronkelijke DKIM-handtekening ongeldig wordt.
Dit is een van de belangrijkste redenen waarom DMARC vereist dat zowel SPF als DKIM op elkaar zijn afgestemd, in plaats van op slechts één van beide te vertrouwen.
Bericht aanpassen
Elke wijziging in de inhoud van de e-mail nadat deze is ondertekend, maakt de DKIM-handtekening ongeldig. Dit geldt ook voor wijzigingen die worden aangebracht door mailinglijsten, e-mailgateways of tools voor inhoudsfilters die de berichttekst of bepaalde headervelden aanpassen voordat het bericht wordt afgeleverd.
Verzenddiensten van derden
Externe e-maildiensten die namens u e-mails versturen, zoals marketingplatforms, CRM-systemen en helpdesktools, vereisen mogelijk aanvullende DKIM-configuratie.
Elke externe afzender moet uitgaande berichten doorgaans ondertekenen met uw domein of met zijn eigen domein, en dit moet worden geverifieerd en meegenomen in uw algehele e-mailverificatie-instellingen.
Hybride omgevingen
Organisaties die in een hybride omgeving zowel Exchange op locatie als Microsoft 365 gebruiken, moeten mogelijk rekening houden met een aantal specifieke aspecten bij het configureren van DKIM-ondertekening.
Berichten die via lokale servers worden doorgestuurd voordat ze Microsoft 365 bereiken, kunnen zich anders gedragen dan berichten die uitsluitend via de cloud worden verzonden. Bij de DKIM-configuratie moet daarom rekening worden gehouden met de volledige berichtenstroom voordat ondertekening wordt ingeschakeld.
Stel DKIM voor Office 365 op de juiste manier in met PowerDMARC!
Waarom PowerDMARC?
“PowerDMARC heeft de implementatie van DKIM voor ons heel eenvoudig gemaakt en ons gemoedsrust gegeven dankzij de geautomatiseerde monitoring.” – IT-manager, FinTech-bedrijf
|
Stel DKIM in en haal nog meer uit PowerDMARC
Het inschakelen van DKIM-ondertekening voor uw aangepaste Microsoft 365-domein is een cruciale stap bij het beveiligen van uw e-mail. Maar DKIM alleen is slechts een deel van het geheel.
Zonder DMARC, dat zorgt voor consistentie en inzicht biedt in uw e-mailverkeer, blijft uw domein kwetsbaar voor spoofing en identiteitsfraude, iets wat DKIM op zichzelf niet kan voorkomen.
Met PowerDMARC is het eenvoudig om de overstap te maken van een DKIM -configuratie naar volledige DMARC -handhaving. Met gehoste DMARC, geautomatiseerde rapportage en een platform dat is gebouwd om elke fase van e-mailverificatie te vereenvoudigen, biedt PowerDMARC u volledig inzicht in wie er namens u e-mails verstuurt en de tools om uw domein voorgoed te beveiligen.
Doe gratis mee aan de DMARC-proef om vandaag nog de voordelen te ontdekken.
FAQs
1. Hoe zorg ik ervoor dat DKIM is ingeschakeld voor alle Exchange Online-domeinen?
Als u wilt controleren of DKIM is ingeschakeld voor al uw Exchange Online-domeinen, controleert u de Microsoft Defender-portal onder E-mail & samenwerking > Beleid & regels > Bedreigingsbeleid > DKIM. Controleer of DKIM is ingeschakeld voor elk aangepast domein.
2. Hoe wissel je DKIM-sleutels af in Office 365?
Om DKIM-sleutels in Office 365 te rouleren, moet u nieuwe CNAME-records voor de nieuwe sleutels in uw DNS genereren en vervolgens DKIM-ondertekening voor die nieuwe sleutels inschakelen in het Microsoft Defender-portaal. Dit proces draagt bij aan een betere beveiliging door de cryptografische sleutels waarmee uw e-mails worden ondertekend, regelmatig te vernieuwen.
3. Hoe vaak moet je DKIM-sleutels vernieuwen?
Het wordt aanbevolen om uw DKIM-sleutels elke 1 tot 2 jaar te roteren, of eerder als u vermoedt dat uw sleutels gecompromitteerd zijn. Regelmatige rotatie helpt bij het handhaven van een sterke e-mailbeveiliging en voorkomt dat aanvallers misbruik maken van oude sleutels.
4. Wat is de aanbevolen sleutellengte voor DKIM-records?
Microsoft Office 365 maakt standaard gebruik van DKIM-sleutels van 2048 bits, wat een hoge mate van beveiliging biedt en als de huidige industriestandaard wordt beschouwd. Deze sleutellengte biedt uitstekende bescherming tegen cryptografische aanvallen, terwijl de prestaties op peil blijven.
5. Hoe werken SPF, DKIM en DMARC samen om e-mail te beveiligen?
SPF autoriseert verzendende servers, DKIM controleert de integriteit van berichten via digitale handtekeningen en DMARC zorgt voor de handhaving van het beleid door de resultaten van SPF en DKIM te combineren. Samen vormen ze een uitgebreid raamwerk voor e-mailverificatie dat bescherming biedt tegen spoofing en phishing, en ervoor zorgt dat legitieme e-mails de beoogde ontvangers bereiken.
6. Wat moet ik doen als er geen DKIM-handtekeningen in mijn uitgaande e-mails staan?
Als er geen DKIM-handtekeningen in uw uitgaande e-mails verschijnen, controleer dan of DKIM is ingeschakeld bij uw e-mailprovider en of de juiste openbare DKIM-sleutel in uw DNS is gepubliceerd. Controleer ook of de selector overeenkomt en of de DNS-wijzigingen volledig zijn doorgevoerd. Als het probleem zich blijft voordoen, controleer dan de instellingen van uw e-mailserver of neem contact op met uw e-mailprovider.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
