DKIM Tags: Verplichte en optionele tags

DKIM staat voor DomainKeys Identified Mail, een e-mailverificatieprotocol dat gebruikmaakt van een versleutelde digitale handtekening. Het is ook een aanvullend protocol dat kan worden gekoppeld aan je DMARC beleid.

Het DKIM protocol kan worden geïmplementeerd door een record in te stellen in je DNS, bestaande uit een combinatie van DKIM tags en de bijbehorende waarden. In deze blog gaan we dieper in op de gedetailleerde uitleg van verplichte, optionele, aanbevolen en afgeraden DKIM signature tags met voorbeelden. 

Wat zijn DKIM Tags?

DKIM tags zijn instructies in het DKIM record die details specificeren over de afzender voor digitale handtekening verificatie. 

Met een goed geconfigureerde DKIM-handtekening kunnen e-mailserviceproviders uw e-mailberichten verifiëren. Techgiganten zoals Google en Yahoo hebben dit protocol verplicht gesteld voor e-mailverzenders om spam te voorkomen, phishing en spoofing.

Hoe DKIM-handtekeningcodes werken

De server van de ontvanger gebruikt gegevens in de e-mailheader en de officiële DKIM record van het domein om de authenticiteit van e-mailberichten te verifiëren. Een DKIM signature header wordt toegevoegd aan de uitgaande e-mail. Meerdere DKIM signature tags bevatten informatie over de afzender, zodat de server van de ontvanger weet waar hij moet zoeken om een e-mail te verifiëren.

Deze DKIM signature tags zijn de informatieve component die specifieke waarden weergeeft, die elk details over de body van de e-mail weergeven. Alle DomainKeys hebben een privésleutel die wordt gebruikt voor het coderen van digitale DKIM-handtekeningen. Daarnaast hebben ze ook een publieke sleutel die gepubliceerd is in de DNS van het domein.

Dus wanneer e-mails vanaf uw domein worden verzonden, moet de privésleutel in de e-mails overeenkomen met de openbare sleutel. Anders zal het bericht de mailbox van de ontvangers niet bereiken. Dit is een zeer snel proces dat niet meer dan een paar seconden in beslag neemt. Het werkt echter alleen als u een DKIM-record aanmaakt en de juiste DKIM DNS-tags toevoegt.

Vereenvoudig DKIM Tags met PowerDMARC!

DKIM Record Tags uitgelegd

DKIM DNS record tags zijn enkele letters die worden gebruikt als commando's en worden gevolgd door een gelijkheidsteken. Alle letters hebben een DKIM-tag die specifieke waarden aanduidt die stukjes informatie over de afzender vertegenwoordigen. Elke DKIM signature tag bevat details over de locatie van de publieke sleutel die wordt gebruikt om de berichten te versleutelen.

DKIM Tag Typen 

Je kunt DKIM handtekening tags classificeren in 'verplichte tags' en 'optionele tags' en de waarde van elk is belangrijk bij het genereren van een DKIM record. Er zijn nog andere DKIM handtekening tags die zijn geclassificeerd als 'niet vereist' of 'niet aanbevolen'. U kunt ze instellen afhankelijk van het nut of de vereisten van elk domein. U hebt de juiste DKIM-authenticatietags nodig wanneer u een DKIM-record toevoegt aan uw DNS. Laten we deze tags in detail bespreken.

Verplichte DKIM-tags 

De Required DKIM tags zijn zo belangrijk voor de DKIM signature header dat je bericht zonder deze tags niet door de verificatietest komt. De mailbox van de ontvanger zal e-mails zonder deze tags negeren. 

• v= Dit is de DKIM versie tag die de gebruikte DKIM standaard aangeeft. De waarde is altijd 1.
• a= Deze DKIM tag geeft het cryptografische algoritme aan dat gebruikt is om de handtekening te maken. De gebruikte waarde is rsa-sha256. Als je computer minder CPU capaciteit heeft, kun je rsa-sha1 gebruiken. Dit wordt echter niet aanbevolen vanwege veiligheidsredenen. 
• s= Geeft de DKIM selectietag aan die wordt gebruikt voor het vinden van de openbare sleutel in de DNS van een domein. In dit veld voer je een naam of een getal in.
• d= De DKIM domain tag geeft het domein weer dat gebruikt wordt met de selector record om publieke sleutels te lokaliseren. De waarde is hetzelfde als de domeinnaam die door de afzender wordt gebruikt.
• b= De DKIM body tag wordt gebruikt voor de hash gegevens van de header. Deze wordt meestal gekoppeld aan de h= tag voor het opstellen van de DKIM handtekening. Het is altijd gecodeerd in Base64. 
• bh= De DKIM body hash tag bevat de berekende hash van e-mails. De waarde is een tekenreeks die een hash aangeeft die is bepaald door een algoritme.
• h= Deze tag bevat de headers van het ondertekeningsalgoritme om de hash in de b=tag te genereren. De waarde kan niet verwijderd of veranderd worden. 

Optionele DKIM-tags

Naast de DKIM handtekening tags zijn er verschillende optionele tags. Dit betekent dat als deze ontbreken in uw DKIM handtekening, er geen fout optreedt bij de verificatie. Experts raden echter aan om ze te gebruiken om e-mail spoofing te voorkomen. 

Spoofers kennen geen tijdwaarden toe, in tegenstelling tot echte zakelijke e-mails. Dus als je inbox onjuiste tijdwaarden voor een afzender opmerkt, is de kans groter dat de e-mail volledig wordt geweigerd. 

Optionele maar aanbevolen DKIM Tags

Het wordt aanbevolen om deze aanbevolen DKIM-recordtags te gebruiken omdat ze de server van de ontvanger helpen bij het verificatieproces. 

• g= Het werkt als de granulariteit van je publieke sleutel en de waarde is hetzelfde als het lokale deel van de i=tag. Je kunt ook een sterretje (*) invoeren als jokerteken. Deze DKIM tag blokkeert de ondertekenadressen voor het gebruik van de selector records. E-mails met een ondertekeningsadres dat niet aan deze tag voldoet, worden niet geverifieerd. 
• h= Geeft een aanvaardbaar hash-algoritme aan en heeft specifieke waarden ingesteld op 'sha1' en 'sha256'. Ondertekenaars en verificateurs hebben deze nodig.
• k= Dit is het sleuteltype. De standaardwaarde is ingesteld op 'rsa', wat ondersteund zou moeten worden door ondertekenaars en verificateurs.
• n= Beheerders gebruiken deze tag om menselijk leesbare notities toe te voegen.
• t= Dit is een belangrijke tag omdat het werkt als een signature timestamp die de tijd aangeeft waarop de e-mail is verzonden. Het formaat van deze tag is in genummerde seconden vanaf 00:00:00 op 1 januari 1970 (UTC).
• x= Deze tag geeft de vervaldatum van de handtekening aan. Het vult de t=tag aan door een leveringsdatum toe te wijzen. 
• t=y Wordt gebruikt om een domein test handtekening op te geven en wordt gebruikt door afzenders wanneer DKIM voor de eerste keer wordt ingesteld. Het wordt aangeraden omdat sommige postbusproviders DKIM-handtekeningen in testmodus over het hoofd zien. Je moet de tag verwijderen voor de volledige implementatie.
• t=s is de vervanging van de tag t=y. Het zegt dat elke DKIM-handtekening die de i=tag gebruikt dezelfde domeinwaarde moet hebben als het primaire domein.

Niet vereist

Je hebt deze DKIM signature tags niet nodig als je voor de eerste keer een DKIM header maakt. Ze maken je DKIM handtekening meestal technisch en complex. 

• c= is een DKIM record tag die werkt als het canonicalisatie algoritme en beschrijft de wijzigingsniveaus van een e-mail tijdens de doorvoer naar een andere postbus provider. Het wordt gebruikt om kleine wijzigingen aan e-mails tijdens de doorvoer te voorkomen. Dit kan anders een mislukte verificatie veroorzaken. Wijzigingen zijn bijvoorbeeld witruimte of regelomloop.

De waarde wordt ingesteld op waarde1 of waarde2. Value1 is bedoeld voor de header terwijl Value2 bedoeld is voor de body van het bericht. Deze kunnen worden ingesteld op 'simple' of 'relaxed' om de tolerantie voor wijzigingen in de e-mail te specificeren. 

• i= vertegenwoordigt de identiteit van de gebruiker of agent. De waarde ervan is het e-mailadres met een domein en subdomein naar je website, wat hetzelfde is als de d=tag.

Niet aanbevolen

Deze DKIM DNS tags zijn niet nodig voor DKIM headers. Deze worden alleen gebruikt als je een van de onderstaande specificaties moet controleren;

• l= De DKIM length tag maakt gedeeltelijke ondertekening van de berichttekst mogelijk, aangeduid met het aantal bits dat moet worden ondertekend. Deze tag wordt niet aanbevolen omdat het je bericht kwetsbaar maakt voor manipulatie. 
• z= Het bevat de originele headers van berichten en wordt gebruikt door postbusproviders om diagnoseverificatiefouten op te lossen.

Laatste opmerkingen

Het implementeren en beheren van uw DKIM protocol kan expertise, tijd en inspanning vereisen, wat vaak ver buiten uw bandbreedte ligt. Daarom kiezen organisaties voor onze gehoste DKIM oplossing. Wij helpen u met het genereren van DKIM records, het instellen van uw DKIM signature tags en het beheren van uw DKIM selectors en sleutels op één enkel platform! 

Bovendien bieden we deskundige hulp bij het configureren van aanvullende protocollen zoals DMARC en SPF om uw verdediging tegen aanvallen via e-mail te versterken.

Voor meer informatie en een op maat gemaakte domeinbeveiligingsstrategie voor organisaties die is beproefd om uw deliverability te verbeteren - neem neem contact met ons op vandaag nog!

• Over
• Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

• IP-reputatie versus domeinreputatie: waarmee kom je in de inbox terecht? - 1 april 2026
• Verzekeringsfraude begint in de inbox: hoe vervalste e-mails routinematige verzekeringsprocessen veranderen in diefstal van uitkeringen - 25 maart 2026
• FTC Safeguards Rule: Heeft uw financiële instelling DMARC nodig? - 23 maart 2026