DKIM uitgelegd — De cryptografische ruggengraat van e-mailvertrouwen

Name: DMARC Analyzer Pro
Availability: InStock
Author: DMARC Analyzer Pro

February 20, 2025 · DMARC Analyzer Pro

DKIM gebruikt cryptografische handtekeningen om de integriteit en afzenderidentiteit van e-mail te verifiëren. Begrijp hoe het werkt en waarom het essentieel is voor DMARC.

DomainKeys Identified Mail (DKIM) voegt een vertrouwenslaag toe aan e-mail die SPF alleen niet kan bieden. Terwijl SPF valideert waar een e-mail vandaan is verzonden, valideert DKIM dat de e-mail niet is gemanipuleerd tijdens het transport en dat deze was geautoriseerd door de domeineigenaar.

Hoe DKIM-ondertekening werkt

Wanneer een DKIM-enabled server een e-mail verstuurt, maakt deze een cryptografische hash van specifieke berichtkoppen en de inhoud van het bericht. Deze hash wordt vervolgens versleuteld met een privésleutel die alleen het verzendende domein beheert. De resulterende handtekening wordt aan de e-mail gekoppeld als een `DKIM-Signature`-header.

De ontvangende server extraheert de handtekening, haalt de bijbehorende publieke sleutel op uit de DNS-records van de afzender en gebruikt deze om de hash te verifiëren. Als de hash overeenkomt, is bevestigd dat het bericht authentiek en ongewijzigd is.

Waarom DKIM belangrijk is voor DMARC

Voor DMARC-doeleinden is DKIM vaak betrouwbaarder dan SPF. SPF breekt wanneer berichten worden doorgestuurd — het IP van de doorstuurserver komt niet overeen met het SPF-record van de oorspronkelijke afzender. DKIM daarentegen overleeft doorsturen omdat de handtekening met het bericht meereist.

Dit maakt DKIM bijzonder belangrijk voor organisaties waarvan de e-mails vaak worden doorgestuurd, automatisch doorgestuurd of verwerkt via mailinglijsten. Met DKIM op zijn plaats en correct afgestemd, zullen uw berichten DMARC doorstaan zelfs wanneer SPF faalt door doorsturen.

Best practices voor sleutelbeheer

De beveiliging van DKIM hangt volledig af van de sterkte en bescherming van uw privésleutel. Gebruik een minimale sleutellengte van 2048 bits — 1024-bit sleutels zijn steeds kwetsbaarder en kunnen door sommige ontvangers worden geweigerd. Roteer uw sleutels periodiek, ten minste eenmaal per jaar. Publiceer bij rotatie de nieuwe publieke sleutel in DNS, werk uw ondertekeningsconfiguratie bij en verwijder de oude sleutel pas nadat er voldoende tijd is verstreken voor berichten die onderweg zijn.

DKIM-ondertekening door derden

Configureer externe diensten die namens u verzenden om te ondertekenen met uw domein in plaats van hun eigen domein. De meeste grote platforms ondersteunen aangepaste DKIM-ondertekening — ze leveren u CNAME-records om in uw DNS te publiceren die verwijzen naar hun DKIM-sleutels. Dit zorgt voor afstemming met uw Van-domein, wat DMARC vereist.

Controleer uw DMARC-rapporten regelmatig om te verifiëren dat al uw verzenders geldige, afgestemde DKIM-handtekeningen produceren. Elke verkeerde afstemming wordt duidelijk zichtbaar in het authenticatieresultatensectie van uw aggregatierapporten.