Wat is DKIM?What is DKIM?

DKIM (DomainKeys Identified Mail) is een e-mailstandaard waarbij de verzendende mailserver elke e-mail voorziet van een cryptografische handtekening. Ontvangende servers controleren die handtekening met een publieke sleutel die in DNS staat. Zo wordt bewezen dat de e-mail door een geautoriseerde server is verstuurd én onderweg niet is gewijzigd.DKIM (DomainKeys Identified Mail) is an email standard in which the sending mail server adds a cryptographic signature to every email. Receiving servers verify that signature with a public key published in DNS. This proves the email was sent by an authorised server and was not altered in transit.

Hoe werkt DKIM?How does DKIM work?

1. De verzendende mailserver berekent een handtekening over de inhoud en belangrijke headers van de e-mail, met een geheime privésleutel.The sending mail server computes a signature over the content and key headers of the email, using a secret private key.
2. De handtekening wordt als header (DKIM-Signature) aan de e-mail toegevoegd.The signature is added to the email as a header (DKIM-Signature).
3. De ontvangende server haalt de bijbehorende publieke sleutel op uit DNS en controleert de handtekening.The receiving server retrieves the corresponding public key from DNS and verifies the signature.
4. Klopt de handtekening, dan is zeker dat de mail van een geautoriseerde verzender komt en niet is aangepast.If the signature checks out, it is certain the mail comes from an authorised sender and was not altered.

Wat is een DKIM-selector?What is a DKIM selector?

Een domein kan meerdere DKIM-sleutels hebben — bijvoorbeeld één voor Microsoft 365 en één voor het nieuwsbriefsysteem. Elke sleutel krijgt een naam: de selector. De publieke sleutel staat in DNS op selector._domainkey.uwdomein.nl. Voorbeelden van bekende selectors zijn selector1 en selector2 (Microsoft 365) en google (Google Workspace).A domain can have multiple DKIM keys — for example one for Microsoft 365 and one for the newsletter system. Each key gets a name: the selector. The public key lives in DNS at selector._domainkey.yourdomain.com. Examples of well-known selectors are selector1 and selector2 (Microsoft 365) and google (Google Workspace).

Een voorbeeld van een DKIM-record:An example of a DKIM record:

1024 of 2048 bit?1024 or 2048 bit?

De sleutellengte bepaalt hoe moeilijk de handtekening te vervalsen is. 1024-bit sleutels gelden inmiddels als te zwak; 2048-bit is de norm. Daarnaast hoort een DKIM-sleutel periodiek vervangen te worden (key rotation) — iets dat in de praktijk vrijwel nooit gebeurt zonder beheerde dienstverlening.The key length determines how hard the signature is to forge. 1024-bit keys are now considered too weak; 2048-bit is the norm. A DKIM key should also be replaced periodically (key rotation) — something that in practice almost never happens without a managed service.

Waarom DKIM alléén niet genoeg isWhy DKIM alone is not enough

• DKIM zegt niets over het zichtbare afzenderadres: een aanvaller kan zijn eigen domein correct laten ondertekenen en tóch uw bedrijfsnaam tonen in het From-veld.DKIM says nothing about the visible sender address: an attacker can have their own domain signed correctly and still show your company name in the From field.
• Niet elke verzender ondertekent: vaak ondertekenen alleen de hoofdmailservers, terwijl het facturatiepakket of de webshop dat niet doet.Not every sender signs: often only the main mail servers sign, while the billing software or the webshop does not.
• Geen beleid, geen rapportage: DKIM dwingt niets af en geeft geen inzicht in misbruik.No policy, no reporting: DKIM enforces nothing and gives no insight into abuse.

Daarom is DMARC nodig: het koppelt DKIM (en SPF) aan het zichtbare afzenderadres en dwingt een beleid af voor mail die de controles niet doorstaat.That's why DMARC is needed: it ties DKIM (and SPF) to the visible sender address and enforces a policy for mail that fails the checks.

Verder lezenFurther reading