DKIM (DomainKeys Identified Mail) is een e-mailstandaard waarbij de verzendende mailserver elke e-mail voorziet van een cryptografische handtekening. Ontvangende servers controleren die handtekening met een publieke sleutel die in DNS staat. Zo wordt bewezen dat de e-mail door een geautoriseerde server is verstuurd én onderweg niet is gewijzigd.
Hoe werkt DKIM?
- De verzendende mailserver berekent een handtekening over de inhoud en belangrijke headers van de e-mail, met een geheime privésleutel.
- De handtekening wordt als header (
DKIM-Signature) aan de e-mail toegevoegd. - De ontvangende server haalt de bijbehorende publieke sleutel op uit DNS en controleert de handtekening.
- Klopt de handtekening, dan is zeker dat de mail van een geautoriseerde verzender komt en niet is aangepast.
Wat is een DKIM-selector?
Een domein kan meerdere DKIM-sleutels hebben — bijvoorbeeld één voor Microsoft 365 en één voor het nieuwsbriefsysteem. Elke sleutel krijgt een naam: de selector. De publieke sleutel staat in DNS op selector._domainkey.uwdomein.nl. Voorbeelden van bekende selectors zijn selector1 en selector2 (Microsoft 365) en google (Google Workspace).
Een voorbeeld van een DKIM-record:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0Yx7...1024 of 2048 bit?
De sleutellengte bepaalt hoe moeilijk de handtekening te vervalsen is. 1024-bit sleutels gelden inmiddels als te zwak; 2048-bit is de norm. Daarnaast hoort een DKIM-sleutel periodiek vervangen te worden (key rotation) — iets dat in de praktijk vrijwel nooit gebeurt zonder beheerde dienstverlening.
Waarom DKIM alléén niet genoeg is
- DKIM zegt niets over het zichtbare afzenderadres: een aanvaller kan zijn eigen domein correct laten ondertekenen en tóch uw bedrijfsnaam tonen in het From-veld.
- Niet elke verzender ondertekent: vaak ondertekenen alleen de hoofdmailservers, terwijl het facturatiepakket of de webshop dat niet doet.
- Geen beleid, geen rapportage: DKIM dwingt niets af en geeft geen inzicht in misbruik.
Daarom is DMARC nodig: het koppelt DKIM (en SPF) aan het zichtbare afzenderadres en dwingt een beleid af voor mail die de controles niet doorstaat.
Ondertekenen al uw systemen correct?
Onze gratis check zoekt naar DKIM-sleutels op uw domein en controleert direct ook DMARC en SPF.
Doe de gratis check