Wat is DKIM en hoe werkt DKIM?

DKIM is een effectieve manier om ervoor te zorgen dat er niet met uw e-mails wordt geknoeid terwijl ze onderweg zijn om te worden afgeleverd. Op domeinen gebaseerde verificatiemethoden en -protocollen zijn zeer effectief tegen cyberaanvallen via e-mail, die steeds vaker voorkomen, vooral met de opkomst van werken op afstand. E-mail blijft een dominante vorm van zakelijke communicatie, maar is ook een primaire vector voor aanvallen zoals phishing, waardoor robuuste verificatie cruciaal is. Het is belangrijk op te merken dat e-mailverificatie niet waterdicht is en dat aanvallers nog steeds manieren kunnen vinden om deze maatregelen te omzeilen. Daarom is het altijd een goed idee om voorzichtig te zijn met het openen van e-mailberichten, vooral als deze links of bijlagen bevatten. DKIM is zo'n protocol dat is ontworpen om deze bedreigingen tegen te gaan.

Het is gebaseerd op publieke sleutel cryptografie en het werkt door het toevoegen van een digitale handtekening aan de header van het bericht, meestal het ondertekenen van headers als 'Van', 'Aan', 'Onderwerp' en 'Datum'. Wanneer de ontvanger een e-mail ontvangt met DKIM, controleert hij de digitale handtekening met behulp van de publieke sleutel die is gepubliceerd in de DNS van de afzender om er zeker van te zijn dat deze geldig is. Als dat zo is, dan weten ze dat het bericht ongewijzigd is gebleven tijdens de overdracht en echt afkomstig is van het geclaimde domein.

Wat is DKIM?

DKIM staat voor DomainKeys Identified Mail. Het is een e-mailverificatieprotocol waarmee afzenders kunnen voorkomen dat de inhoud van e-mail wordt gewijzigd tijdens het afleverproces. DKIM is ontstaan uit de samenvoeging van DomainKeys (van Yahoo) en Identified Internet Mail (van Cisco) in 2004 en is inmiddels een veelgebruikte techniek.

Het is gebaseerd op public key cryptografie en het werkt door een digitale handtekening toe te voegen aan de header van het bericht. Wanneer de ontvanger een e-mail ontvangt met DKIM, controleert hij of de digitale handtekening geldig is. Als dat zo is, dan weten ze dat het bericht ongewijzigd is gebleven tijdens de overdracht. Toonaangevende providers zoals Google, Microsoft en Yahoo controleren inkomende e-mail op DKIM-handtekeningen. Nieuwe verzenders die e-mails verzenden naar Gmail-gebruikers zijn nu bijvoorbeeld verplicht door Google om ten minste SPF of DKIM in te stellen. Google voert willekeurige controles uit op inkomende berichten en e-mails zonder deze verificatiemethoden kunnen worden geweigerd met een 5.7.26 foutmelding of worden gemarkeerd als spam.

Wat is een DKIM-header?

Een DKIM header is een onderdeel van een e-mail dat de cryptografische DKIM handtekening bevat. Deze handtekening wordt toegevoegd door de mailserver van de afzender, met name de Mail Transfer Agent (MTA), die een unieke tekenreeks, een hashwaarde genaamd, creëert op basis van de inhoud van het bericht en de headers. Tijdens het verificatieproces helpt het handtekeningveld in de DKIM header bij het verifiëren van de authenticiteit van uitgaande berichten. Het helpt ontvangers te bevestigen dat de e-mail echt is en afkomstig van een legitieme afzender.

Wat zijn DKIM-sleutels?

DKIM-sleutels zijn cryptografische privé- en openbare sleutelparen die worden gebruikt voor DKIM-verificatie.

• Openbare sleutel: De DKIM publieke sleutel wordt opgeslagen in het DNS van de afzender (als een TXT record) en wordt gebruikt door ontvangende mailservers om DKIM handtekeningen te verifiëren.
• Privé sleutel: De DKIM privésleutel wordt veilig bewaard op de mailserver van de verzender en wordt gebruikt om de digitale handtekening te genereren en toe te voegen aan elk uitgaand bericht als onderdeel van de DKIM header.

Hoe werkt DKIM?

Tijdens het DKIM-authenticatieproces genereert het domein van de afzender een paar cryptografische sleutels en wanneer een e-mail wordt verzonden, voegt de verzendende server (MTA) een DKIM-handtekening toe aan de berichtkop met behulp van de privésleutel. Deze handtekening bevat een hashwaarde van geselecteerde delen van de e-mail.

Het domein van de afzender publiceert de bijbehorende openbare sleutel in een DNS-record. Bij ontvangst van de e-mail haalt de server van de ontvanger de DKIM-handtekening op uit de header, vraagt de DNS om de openbare sleutel en gebruikt deze om de hashwaarde van de handtekening te decoderen. De ontvangende server berekent vervolgens onafhankelijk zijn eigen hashwaarde uit de headers en de body van de ontvangen e-mail. Hij vergelijkt deze herberekende hash met de gedecodeerde hash van de handtekening. Als de twee hashwaarden overeenkomen, is de handtekening geldig en wordt bevestigd dat de e-mail authentiek is, niet is gewijzigd en is verzonden vanaf het vermelde domein.

Hoe weet ik dat DKIM werkt?

Om te controleren of DKIM inderdaad werkt voor uw domein, kunt u een DKIM-controle gebruiken om uw configuratie te controleren. Probeer onze gratis DKIM checker hier. Controleer daarnaast DMARC aggregaatrapporten, die inzicht geven in DKIM verificatieresultaten voor e-mails die claimen van uw domein afkomstig te zijn. Het controleren van DNS query logs voor uw DKIM records kan ook aangeven hoe vaak ontvangende servers uw publieke sleutel ophalen.

Wat is een DKIM record?

Een DKIM-record is een reeks instructies op machineniveau die wordt gepubliceerd als een TXT-record in de DNS-instellingen van je domein. Het bevat de openbare sleutel die overeenkomt met de privésleutel die wordt gebruikt voor ondertekening. Dit record vertelt het internet dat berichten die beweren van uw domein afkomstig te zijn, kunnen worden geverifieerd met behulp van deze sleutel, waardoor mailservers kunnen bevestigen dat een bericht onderweg naar de bestemming niet is gewijzigd en afkomstig is van een geverifieerde bron.

DKIM handtekening

A DKIM handtekening is een cryptografische handtekening die wordt toegevoegd aan de header van een e-mailbericht om de authenticiteit ervan te verifiëren en te garanderen dat er niet mee is geknoeid tijdens het transport. De handtekening wordt gegenereerd met de privésleutel en geverifieerd met de publieke sleutel in het DKIM record.

DKIM selector

DKIM-selector is een unieke identificatie die wordt gebruikt om aan te geven welk DKIM sleutelpaar is gebruikt om het bericht te ondertekenen, zodat domeinen meerdere sleutels kunnen beheren (bijvoorbeeld voor verschillende verzendservices). De selector is een alfanumerieke tekenreeks die wordt gedefinieerd in de s= tag in de DKIM e-mailheader en moet onderscheidend en verschillend zijn voor elke e-mailleverancier die u gebruikt.

Bijvoorbeeld, in de DKIM recordnaam s1._domainkey.domain.com, s1 uw selector.

Voorbeeld DKIM record

v=DKIM1;
k=rsa; p=MIGfMA0GCSqGSIb3DQEBA...
DKIM records kunnen ook een 't=y' tag bevatten, waarmee wordt aangegeven dat het domein in testmodus is; deze moet tijdelijk worden gebruikt tijdens de eerste installatie en worden verwijderd voor volledige implementatie.

Wat zijn de voordelen van DKIM

Bedrijven hebben DKIM nodig om hun uitgaande e-mails te verifiëren en de legitimiteit ervan te garanderen. DKIM speelt een cruciale rol bij het omzeilen van Man-in-the-Middle (MITM)-aanvallen en het voorkomen van ongerechtvaardigde wijzigingen die door derden in e-mailcontent worden aangebracht. Het helpt klantrelaties en de merkreputatie te beschermen door ervoor te zorgen dat e-mails betrouwbaar zijn.

DKIM voorkomt berichtwijzigingen

Als je je afvraagt wat DKIM doet om e-mailfraude te voorkomen, weet dan dit: de digitale handtekening is een failsafe. Als de e-mail is onderschept en gewijzigd, zal de verificatie van de handtekening mislukken omdat de herberekende hash niet overeenkomt met de gedecodeerde hash van de handtekening, zodat de e-mail wordt geweigerd of als verdacht wordt gemarkeerd.

Spoofing minimaliseren met een DKIM-domein

Een e-mail die is verzonden door een aanvaller die zich probeert voor te doen als uw domein, heeft geen geldige handtekening die is gegenereerd met uw privésleutel. De DKIM verificatiecontrole zal mislukken, wat nog een inzicht geeft in waar DKIM uw organisatie tegen beschermt.

Bekijk de nieuwste statistieken over e-mailfraude hier.

DKIM vermindert e-mailspam

Waar DKIM in de volksmond bekend om staat, is een vermindering van spam e-mails. Als je DKIM goed configureert, vergroot je de betrouwbaarheid van je e-mails en verklein je de kans dat je legitieme berichten in de spammap terechtkomen, wat vooral gunstig is voor e-mailmarketingcampagnes.

DKIM verhoogt de bezorgbaarheid van e-mail

Bovendien verbetert DKIM de reputatie van je afzender als geverifieerde bron in de ogen van Internet Service Providers (ISP's), klanten, partners en andere ontvangende services. Dit draagt bij aan een betere e-mail deliverability en helpt inkomsten te genereren door ervoor te zorgen dat belangrijke communicatie de beoogde ontvangers bereikt. E-mail deliverability, het vermogen van een e-mail om de inbox van de ontvanger te bereiken in plaats van gemarkeerd te worden als spam of bouncing, is van cruciaal belang voor marketing en communicatie. Belangrijke statistieken zoals bouncepercentages, openpercentages, doorklikpercentages en spamklachten helpen om de betrokkenheid te meten. Een slechte deliverability kan leiden tot verspilde marketinginvesteringen, vermeldingen op blocklists zoals Spamhaus en gevolgen hebben voor de klantenservice. Mailboxproviders richten zich steeds meer op gebruikersbetrokkenheidssignalen (opens, kliks, antwoorden, klachtenpercentages) om e-mails te filteren, wat de noodzaak van een hoge deliverability onderstreept. Succesvol afgeleverde e-mails via DKIM-verificatie dragen bij aan hogere doorklik- en openratio's, wat kan leiden tot meer conversies en verkopen.

Wat zijn de beperkingen van DKIM?

DKIM is erg belangrijk voor de authenticatie en integriteit van berichten, maar het is niet perfect. Hier volgen enkele beperkingen:

• DKIM verifieert de afzender (het "Van" adres) die zichtbaar is voor de eindgebruiker niet in alle gevallen direct ten opzichte van het ondertekeningsdomein (deze uitlijningscontrole maakt deel uit van DMARC). Het verifieert primair dat de e-mail is geautoriseerd door het domein dat in de DKIM handtekening (d= tag) staat en niet is gewijzigd. Dus als iemand ongeautoriseerde toegang krijgt tot een legitieme account of server, kan hij DKIM-ondertekende e-mails versturen vanaf uw domein.
• DKIM is afhankelijk van het correct publiceren en ophalen van DNS-records. Als je publieke DNS-records niet correct zijn ingesteld, verkeerd geconfigureerd zijn of te maken hebben met propagatievertragingen, kan dit leiden tot DKIM-verificatie mislukt zelfs voor legitieme e-mails.
• DKIM alleen bepaalt niet wat er gebeurt als de authenticatie mislukt. Het geeft alleen een pass/fail resultaat. Het houdt spam of phishingpogingen niet tegen, maar maakt vervalsing moeilijker. Daarom is het koppelen met DMARC, dat DKIM (en/of SPF) resultaten gebruikt om beleid af te dwingen, extreem essentieel voor uitgebreide bescherming.

Bovendien kan het implementeren van DKIM praktische uitdagingen met zich meebrengen, waaronder technische complexiteit die expertise vereist in sleutelbeheer en DNS-configuratie, potentiële problemen met de bezorgbaarheid van e-mail als deze verkeerd is geconfigureerd, problemen met het beheren van sleutels op grote schaal en het garanderen van compatibiliteit met verzendservices voor e-mail van derden.

DKIM koppelen aan DMARC

Het heeft geen zin om DKIM vs DMARC te vergelijken, want het combineren van DKIM met DMARC (en SPF) is ideaal voor een veelzijdige bescherming en een soepele e-mailbezorging! Als je beide gebruikt, maakt DMARC gebruik van de authenticatieresultaten van DKIM (samen met die van SPF) en voegt uitlijningscontroles plus beleidshandhaving toe (zoals het weigeren of in quarantaine plaatsen van mislukte e-mails), waardoor het veel moeilijker wordt voor gespoofde e-mails om de inbox te bereiken. Dit helpt voorkomen dat ze op een zwarte lijst van spamfilters terechtkomen, wat betekent dat uw legitieme e-mails betrouwbaarder worden afgeleverd.

Daarnaast helpt het gebruik van DKIM en DMARC samen uw merk te beschermen - spammers proberen vaak domeinen te spoofen waarvan ze denken dat ze hen minder snel als spam zullen rapporteren. Maar als de domeinen die ze spoofen DKIM en een DMARC-beleid hebben ingesteld, wordt het aanzienlijk moeilijker voor hen om met hun trucs weg te komen en wordt de reputatie van uw domein beschermd.

Het mooie van deze combinatie is dat ze naadloos samenwerken om meerdere beschermingslagen te bieden tegen pogingen tot spoofing, terwijl ze afzenders controle en zichtbaarheid geven (via DMARC-rapporten) over hoe hun mail wordt behandeld en geverifieerd op het internet.

DKIM inschakelen met PowerDMARC

PowerDMARC stelt domeineigenaren in staat om DKIM eenvoudig in te stellen, samen met SPF en DMARC, en biedt praktische controle- en rapportagefuncties. Dit helpt hen om te allen tijde op de hoogte te blijven van verificatieresultaten en fouten, waardoor deliverability wordt gegarandeerd terwijl cyberaanvallen actief worden bestreden.

Ons platform is eenvoudig te gebruiken voor bedrijven van elke grootte en kan meerdere domeinen en grote hoeveelheden e-mailverkeer aan. We bieden een effectieve DKIM-oplossing in combinatie met verschillende andere essentiële e-mailverificatieprotocollen voor een 360-graden bescherming tegen e-mailfraude.

Haal uw DKIM en DMARC instellen in slechts enkele minuten met PowerDMARC!

Veelgestelde vragen over DKIM

Hoe stel je DKIM in?

Om DKIM in te stellen, moet je een privésleutel en een corresponderend openbaar sleutelpaar genereren, vaak met een hulpprogramma zoals een DKIM record generator of via uw e-mail service provider. Het wordt aanbevolen om DKIM sleutels van ten minste 1024 bits te gebruiken, waarbij 2048-bits sleutels de voorkeur verdienen voor een betere beveiliging. Draai uw DKIM-sleutels regelmatig en overweeg om unieke sleutels te gebruiken voor verschillende verzendservices of clients. Zorg ervoor dat de vervalperiode van de digitale handtekening, indien ingesteld, langer is dan de rotatieperiode van de sleutel en vergeet niet oude sleutels in te trekken. Configureer vervolgens uw verzendende mailserver(s) om uitgaande e-mails te ondertekenen met de privésleutel en publiceer de openbare sleutel als een DNS TXT-record onder een specifieke selectornaam voor uw domein (bijv. selector._domainkey.yourdomain.com).

Hoe controleer je je DKIM record?

Om uw DKIM record te controleren, kunt u onze gratis DKIM-controle gebruiken. Voer gewoon uw domeinnaam in en de specifieke DKIM selector die u wilt controleren (indien bekend), en het zal de DNS bevragen en rapporteren of het DKIM record correct is geformatteerd, gepubliceerd en opvraagbaar is, of dat er problemen zijn gedetecteerd.

Wat is het verschil tussen SPF en DKIM?

Hoewel beide e-mailverificatieprotocollen worden gebruikt door DMARC, richt SPF (Sender Policy Framework) zich op het autoriseren van IP-adressen die e-mail mogen verzenden *voor* een domein, waarbij het pad van het bericht wordt geverifieerd. DKIM richt zich op het verifiëren van de *inhoudelijke integriteit* van e-mail en bevestigt dat het bericht is geautoriseerd door de domeineigenaar via een cryptografische handtekening, die de herkomst van het bericht verifieert en garandeert dat het niet is gewijzigd. DKIM handtekeningen overleven het doorsturen, terwijl SPF vaak kapot gaat tijdens het doorsturen.

Kan ik dezelfde DKIM-sleutel voor meerdere domeinen gebruiken?

Nee, u kunt hetzelfde DKIM-sleutelpaar niet voor meerdere verschillende domeinen gebruiken. Elk domein heeft zijn eigen unieke DKIM-sleutelpaar nodig (privésleutel voor ondertekening, openbare sleutel gepubliceerd in het DNS van dat domein). Dit zorgt ervoor dat de DKIM-handtekeningen domeinspecifiek zijn en handhaaft de beveiliging en integriteit van e-mailverificatie voor elk afzonderlijk domein. U kunt echter indien nodig hetzelfde sleutelpaar gebruiken voor verschillende selectors *binnen* hetzelfde domein, hoewel afzonderlijke sleutels per verzendservice gebruikelijk zijn.

Meer lezen

Gebruikt Office 365 DKIM?

Ja, Microsoft 365 (voorheen Office 365) ondersteunt en gebruikt DKIM.. Standaard gebruikt Microsoft 365 een gedeelde DKIM-configuratie voor initiële domeinen, maar het wordt sterk aanbevolen om aangepaste DKIM-ondertekening te configureren voor uw eigen domein(en) door het genereren van de nodige CNAME-records in uw DNS zoals aangegeven door Microsoft, waardoor zij de sleutels en het ondertekeningsproces kunnen beheren.

Kan ik DMARC gebruiken zonder DKIM?

Technisch gezien kun je DMARC implementeren met alleen SPF voor authenticatie. Dit wordt echter ten zeerste afgeraden. DMARC is afhankelijk van SPF of DKIM (of beide) die worden doorgegeven en op elkaar worden afgestemd. Alleen vertrouwen op SPF maakt je authenticatie kwetsbaar, omdat SPF vaak faalt tijdens indirecte mailflows (zoals doorsturen). Het implementeren van zowel SPF als DKIM biedt redundantie en een veel robuustere authenticatiedekking die nodig is om DMARC effectief te laten functioneren.

Heb ik DMARC nodig als ik DKIM heb geïmplementeerd?

Hoewel DKIM cruciale integriteitscontrole en verificatie van berichten biedt, vertelt het de ontvangende servers niet wat ze moeten *doen* als de controle mislukt, noch controleert het of het ondertekeningsdomein overeenkomt met het door de gebruiker zichtbare "Van"-domein. A DMARC beleid voegt deze essentiële laag toe: het controleert op uitlijning tussen het DKIM signeerdomein (d=) en het "Van" domein, specificeert of berichten die de authenticatie en uitlijning niet doorstaan in quarantaine moeten worden geplaatst of moeten worden geweigerd, en biedt rapportage over authenticatieresultaten. De combinatie van DKIM (en SPF) met DMARC levert een aanzienlijk betere e-mailbeveiliging, merkbescherming en deliverability op.

Wat zijn problemen met DomainKeys Identified Mail?

Veel voorkomende DKIM problemen zijn: onjuiste DNS record syntax of publicatie; gebruik van de verkeerde selector; compromittering van de private sleutel of mismatches met de publieke sleutel; sleutelrotatie problemen (verlopen sleutels); berichtaanpassingen door tussenliggende servers (zoals mailinglijsten) die de handtekening verbreken; verkeerde afstemming tussen het DKIM signeerdomein en het From: header domein (wat invloed heeft op DMARC); en gebrek aan DKIM ondersteuning of verkeerde configuratie door verzendservices van derden. Elk van deze problemen kan resulteren in DKIM-verificatieproblemen en een negatieve invloed hebben op de bezorgbaarheid van e-mail.

Hoe lang duurt het om een DKIM record aan te maken?

Het genereren van de sleutels en het configureren van de mailserver kan enkele minuten tot uren duren, afhankelijk van het systeem. Het publiceren van het DKIM public key record in je DNS gaat meestal snel, maar het kan enkele minuten tot 48-72 uur duren voordat de DNS wijzigingen volledig zijn verspreid over het internet, afhankelijk van je DNS provider en TTL instellingen. Na de installatie is doorlopende controle (idealiter via DMARC-rapporten) aanbevolen om ervoor te zorgen dat DKIM correct blijft functioneren.

Wat gebeurt er als DKIM mislukt?

Wanneer een DKIM-controle mislukt voor een e-mail geeft dit aan dat er tijdens het verzenden met het bericht is geknoeid of dat het niet correct is ondertekend door het geclaimde verzendende domein. Ontvangende servers kunnen de e-mail met argwaan behandelen en mogelijk als spam of junk markeren. Als er een DMARC beleid is gepubliceerd voor het domein en het falen leidt ook tot een DMARC falen (omdat SPF ook niet is geslaagd/afgestemd), kan de e-mail in quarantaine worden geplaatst of volledig worden afgewezen op basis van het beleid(p=quarantaine of p=afwijzen). Het implementeren van SPF biedt een fallback authenticatiemechanisme.

Heb ik SPF en DKIM nodig?

Hoewel SPF en DKIM onafhankelijke protocollen zijn die e-mails tot op zekere hoogte op zichzelf kunnen verifiëren, is het gebruik van *beide* de beste praktijk in de sector en wordt dit ten zeerste aanbevolen voor robuuste e-mailverificatie. Ze pakken verschillende aspecten aan (afzender IP vs. berichtintegriteit/herkomst). implementeren SPF, DKIM en DMARC samen creëert een krachtig raamwerk dat uw verdediging tegen spoofing en phishingaanvallen aanzienlijk verbetert, de deliverability verbetert en de reputatie van uw domein beschermt.