DKIM staat voor DomainKeys Identified Mail, een e-mailverificatieprotocol dat gebruikmaakt van een versleutelde digitale handtekening. Het is ook een aanvullend protocol dat kan worden gekoppeld aan je DMARC beleid.
Het DKIM protocol kan worden geïmplementeerd door een record in te stellen in je DNS, bestaande uit een combinatie van DKIM tags en de bijbehorende waarden. In deze blog gaan we dieper in op de gedetailleerde uitleg van verplichte, optionele, aanbevolen en afgeraden DKIM signature tags met voorbeelden.
Wat zijn DKIM Tags?
DKIM tags zijn instructies in het DKIM record die details specificeren over de afzender voor digitale handtekening verificatie.
Met een goed geconfigureerde DKIM-handtekening kunnen e-mailserviceproviders uw e-mailberichten verifiëren. Techgiganten zoals Google en Yahoo hebben dit protocol verplicht gesteld voor e-mailverzenders om spam te voorkomen, phishing en spoofing.
Hoe DKIM-handtekeningcodes werken
De server van de ontvanger gebruikt gegevens in de e-mailheader en de officiële DKIM record van het domein om de authenticiteit van e-mailberichten te verifiëren. Een DKIM signature header wordt toegevoegd aan de uitgaande e-mail. Meerdere DKIM signature tags bevatten informatie over de afzender, zodat de server van de ontvanger weet waar hij moet zoeken om een e-mail te verifiëren.
Deze DKIM signature tags zijn de informatieve component die specifieke waarden weergeeft, die elk details over de body van de e-mail weergeven. Alle DomainKeys hebben een privésleutel die wordt gebruikt voor het coderen van digitale DKIM-handtekeningen. Daarnaast hebben ze ook een publieke sleutel die gepubliceerd is in de DNS van het domein.
Dus wanneer e-mails worden verzonden vanaf uw domein, moet de privésleutel in de e-mails overeenkomen met de openbare sleutel. Anders zal het bericht de mailbox van de ontvangers niet bereiken. Dit is een zeer snel proces dat niet meer dan een paar seconden in beslag neemt. Het werkt echter alleen als u een DKIM-record aanmaakt en de juiste DKIM DNS-tags toevoegt.
DKIM Record Tags uitgelegd
DKIM DNS record tags zijn enkele letters die worden gebruikt als commando's en worden gevolgd door een gelijkheidsteken. Alle letters hebben een DKIM-tag die specifieke waarden aanduidt die stukjes informatie over de afzender vertegenwoordigen. Elke DKIM signature tag bevat details over de locatie van de publieke sleutel die wordt gebruikt om de berichten te versleutelen.
DKIM Tag Types
Je kunt DKIM handtekening tags classificeren in 'verplichte tags' en 'optionele tags' en de waarde van elk is belangrijk bij het genereren van een DKIM record. Er zijn nog andere DKIM handtekening tags die zijn geclassificeerd als 'niet vereist' of 'niet aanbevolen'. U kunt ze instellen afhankelijk van het nut of de vereisten van elk domein. U hebt de juiste DKIM-authenticatietags nodig wanneer u een DKIM-record toevoegt aan uw DNS. Laten we deze tags in detail bespreken.
Verplichte DKIM-tags
De Required DKIM tags zijn zo belangrijk voor de DKIM signature header dat uw bericht zonder deze tags niet door de verificatietest komt. De mailbox van de ontvanger zal e-mails zonder deze tags negeren.
- v= Dit is de DKIM versie tag die de gebruikte DKIM standaard aangeeft. De waarde is altijd 1.
- a= Deze DKIM tag geeft het cryptografische algoritme aan dat wordt gebruikt om de handtekening te maken. De gebruikte waarde is rsa-sha256. Als uw computer minder CPU mogelijkheden heeft, kunt u rsa-sha1 gebruiken. Om veiligheidsredenen wordt dit echter niet aanbevolen.
- s= Geeft de DKIM selectietag aan die wordt gebruikt voor het vinden van de openbare sleutel in de DNS van een domein. In dit veld voer je een naam of een getal in.
- d= De DKIM domain tag geeft het domein weer dat gebruikt wordt met de selector record om publieke sleutels te lokaliseren. De waarde is hetzelfde als de domeinnaam die door de afzender wordt gebruikt.
- b= De DKIM body tag wordt gebruikt voor de hash gegevens van de header. Deze wordt meestal gekoppeld aan de h= tag voor het opstellen van de DKIM handtekening. Het is altijd gecodeerd in Base64.
- bh= De DKIM body hash tag bevat de berekende hash van e-mails. De waarde is een tekenreeks die een hash aangeeft die is bepaald door een algoritme.
- h= Deze tag neemt de headers in het ondertekeningsalgoritme op om de hash in de b=tag te genereren. De waarde ervan kan niet worden verwijderd of gewijzigd.
Optionele DKIM-tags
Naast de DKIM handtekening tags zijn er verschillende optionele tags. Dit betekent dat als uw DKIM handtekening deze tags mist, er geen fout optreedt bij de verificatie. Deskundigen raden echter aan ze te gebruiken om e-mailspoofing te voorkomen.
Spoofers kennen geen tijdswaarden toe, in tegenstelling tot echte zakelijke e-mails. Als uw inbox dus merkt dat de tijdwaarden van een afzender onjuist zijn, is de kans groter dat de e-mail volledig wordt geweigerd.
Optionele maar aanbevolen DKIM Tags
Het wordt aanbevolen om deze aanbevolen DKIM-recordtags te gebruiken omdat ze de server van de ontvanger helpen bij het verificatieproces.
- g= Het werkt als de granulariteit van uw openbare sleutel en de waarde ervan is hetzelfde als het lokale deel van de i=tag. U kunt ook een sterretje (*) invoeren als jokerteken. Deze DKIM tag blokkeert de ondertekeningsadressen van het gebruik van de selector records. E-mails met een ondertekeningsadres dat niet aan deze tag voldoet, worden niet geverifieerd.
- h= Geeft een aanvaardbaar hash-algoritme aan en heeft specifieke waarden ingesteld op 'sha1' en 'sha256'. Ondertekenaars en verificateurs hebben deze nodig.
- k= Dit is het sleuteltype. De standaardwaarde is "rsa", wat door ondertekenaars en verificateurs moet worden ondersteund.
- n= Beheerders gebruiken deze tag om menselijk leesbare notities toe te voegen.
- t= Dit is een belangrijk label omdat het werkt als een tijdstempel van de handtekening die de tijd aangeeft waarop de e-mail is verzonden. Het formaat van deze tag is in genummerde seconden vanaf 00:00:00 op 1 januari 1970 (UTC).
- x= Deze tag geeft de vervaldatum van de handtekening aan. Hij vult de t=tag aan door een leveringsdatum toe te kennen.
- t=y Wordt gebruikt om een domein test handtekening op te geven en wordt gebruikt door afzenders wanneer DKIM voor de eerste keer wordt ingesteld. Het wordt aangeraden omdat sommige postbusproviders DKIM-handtekeningen in testmodus over het hoofd zien. Je moet de tag verwijderen voor de volledige implementatie.
- t=s is de vervanging van de tag t=y. Het zegt dat elke DKIM-handtekening die de i=tag gebruikt dezelfde domeinwaarde moet hebben als het primaire domein.
Niet nodig.
Je hebt deze DKIM signature tags niet nodig als je voor de eerste keer een DKIM header maakt. Ze maken je DKIM handtekening meestal technisch en complex.
- c= is een DKIM record tag die werkt als het canonicalisatie algoritme en beschrijft de wijzigingsniveaus van een e-mail tijdens de doorvoer naar een andere mailbox provider. Het wordt gebruikt om kleine wijzigingen van e-mails tijdens de doorvoer te voorkomen. Dit kan anders een mislukte verificatie veroorzaken. Wijzigingen omvatten witruimte of regelomloop.
De waarde ervan wordt ingesteld op waarde1 of waarde2. Value1 is bedoeld voor de header, terwijl Value2 voor de body van het bericht is. Deze kunnen worden ingesteld op "eenvoudig" of "ontspannen" om de tolerantie voor wijzigingen in de e-mail te specificeren.
- i= vertegenwoordigt de identiteit van de gebruiker of agent. De waarde ervan is het e-mailadres met een domein en subdomein naar uw website, wat hetzelfde is als de d=tag.
Niet aanbevolen
Deze DKIM DNS tags zijn niet nodig voor DKIM headers. Deze worden alleen gebruikt als je een van de onderstaande specificaties moet controleren;
- l= De DKIM length tag maakt gedeeltelijke ondertekening van de berichttekst mogelijk, aangeduid met het aantal bits dat moet worden ondertekend. Deze tag wordt niet aanbevolen omdat het je bericht kwetsbaar maakt voor manipulatie.
- z= Het bevat de originele headers van berichten en wordt door postbusaanbieders gebruikt om diagnoseverificatiefouten te opereren.
Laatste opmerkingen
Het implementeren en beheren van uw DKIM protocol kan expertise, tijd en inspanning vereisen, wat vaak ver buiten uw bandbreedte ligt. Daarom kiezen organisaties voor onze gehoste DKIM oplossing. Wij helpen u met het genereren van DKIM records, het instellen van uw DKIM signature tags en het beheren van uw DKIM selectors en sleutels op één enkel platform!
Bovendien bieden we deskundige hulp bij het configureren van aanvullende protocollen zoals DMARC en SPF om uw verdediging tegen aanvallen via e-mail te versterken.
Voor meer informatie en een op maat gemaakte domeinbeveiligingsstrategie voor organisaties die is beproefd om uw deliverability te verbeteren - neem neem contact met ons op vandaag nog!