Recente zoekopdrachten

Geen recente zoekopdrachten

    Populaire Artikelen

      Artikelen
      Alles weergeven
        Onderwerpen
        Alles weergeven
          Tickets
          Alles weergeven
            geen resultaten

            Sorry! Niets gevonden voor

            DKIM instellen: e-mail digitaal ondertekenen

            Gewijzigd op Vr, 5 Jun om 10:16 AM

            DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan uw uitgaande e-mail. Ontvangende mailservers gebruiken een publieke sleutel in uw DNS om te controleren of het bericht onderweg niet is gewijzigd en daadwerkelijk van uw domein komt. DKIM is samen met SPF en DMARC een fundament van betrouwbare e-mailaflevering. Deze handleiding legt uit hoe u DKIM instelt en controleert.

            Probleem

            Uw e-mail belandt in de spam of wordt niet vertrouwd door ontvangers, ondanks een ingesteld SPF-record. Ontvangende servers kunnen niet verifiëren dat de inhoud van uw bericht authentiek is en onderweg niet is aangepast. Daarnaast kan zonder DKIM een DMARC-beleid niet volledig slagen.

            Oorzaak

            Zonder DKIM ontbreekt de cryptografische handtekening waarmee een ontvanger de echtheid en integriteit van uw bericht kan vaststellen. Veel ontvangende partijen wegen de aanwezigheid van een geldige DKIM-handtekening zwaar mee in hun spamfilter.

            Een andere veelvoorkomende oorzaak is een onjuist gepubliceerde DKIM-sleutel: de publieke sleutel staat niet (correct) als TXT-record in uw DNS, de selector klopt niet, of de sleutel is bij het kopiëren afgebroken of beschadigd.

            Na een migratie naar een nieuwe mailprovider wordt DKIM soms vergeten, terwijl elke provider zijn eigen DKIM-sleutels en selectors gebruikt die opnieuw gepubliceerd moeten worden.

            Oplossing

            U lost dit op door bij uw mailprovider DKIM te activeren en de bijbehorende publieke sleutel als DNS-record te publiceren. DKIM werkt met een sleutelpaar: de privésleutel blijft bij de mailprovider en ondertekent uitgaande mail; de publieke sleutel plaatst u in uw DNS zodat ontvangers de handtekening kunnen verifiëren.

            De publieke sleutel wordt gepubliceerd onder een selector, een unieke naam die de provider opgeeft. Het record komt op een hostnaam in de vorm selector._domainkey.uwdomein.nl. Bij Microsoft 365 worden meestal twee CNAME-records gepubliceerd (selector1 en selector2) die naar de DKIM-sleutels van Microsoft verwijzen.

            Bij andere providers krijgt u vaak een TXT-record met daarin v=DKIM1; k=rsa; p= gevolgd door de lange publieke sleutel. Neem de waarde exact over zoals de provider die aanlevert.

            Stappenplan

            1. Log in op het beheerpaneel van uw mailprovider (bijvoorbeeld het Microsoft 365 admin center).
            2. Zoek de DKIM-instellingen op, vaak onder e-mailauthenticatie of beveiliging.
            3. Genereer of bekijk de DKIM-sleutel(s) en noteer de selector(s) en de te publiceren records.
            4. Log in op het DNS-beheer van uw domein.
            5. Voeg de opgegeven records toe: bij Microsoft 365 doorgaans twee CNAME-records (selector1._domainkey en selector2._domainkey), bij andere providers een TXT-record op selector._domainkey.
            6. Sla de records op en wacht op DNS-propagatie.
            7. Activeer DKIM definitief in het beheerpaneel van de provider (bij Microsoft 365 zet u DKIM na publicatie op Ingeschakeld).
            8. Controleer met een DKIM-checktool of via de berichtkoppen van een testmail of er DKIM=pass staat.

            CNAME of TXT: wat gebruikt u?

            Welk recordtype u gebruikt, hangt af van uw provider. Microsoft 365 werkt met CNAME-records die naar de DKIM-infrastructuur van Microsoft verwijzen; het voordeel is dat Microsoft de onderliggende sleutels zelf kan roteren zonder dat u iets hoeft te wijzigen. Veel andere providers leveren een directe TXT-record aan met de publieke sleutel erin. Volg altijd de specifieke instructie van uw provider en meng de twee niet.

            DKIM in combinatie met SPF en DMARC

            DKIM toont aan dat een bericht niet is gewijzigd en van uw domein komt, maar zegt op zichzelf niets over wat een ontvanger moet doen bij een mislukte controle. Daarvoor is DMARC nodig. SPF, DKIM en DMARC vullen elkaar aan: SPF machtigt verzendende servers, DKIM borgt de integriteit, en DMARC bepaalt het beleid en levert rapportages. Stel ze daarom altijd alle drie in.

            Veelgemaakte fouten

            • De publieke sleutel onvolledig kopiëren, waardoor de handtekening niet kan worden geverifieerd.
            • De verkeerde selector gebruiken of een typefout maken in de hostnaam.
            • DKIM wel publiceren maar vergeten te activeren in het beheerpaneel van de provider.
            • Een TXT-record aanmaken waar een CNAME hoort, of andersom.
            • Na een providerwissel de oude DKIM-records laten staan en de nieuwe niet publiceren.
            • Concluderen dat DKIM faalt voordat de DNS-propagatie is voltooid.

            Hoe DKIM-verificatie technisch werkt

            Bij het versturen berekent de mailserver een hash van geselecteerde berichtonderdelen (zoals bepaalde headers en de body) en versleutelt die met de privésleutel. Deze versleutelde hash wordt als DKIM-Signature-header aan het bericht toegevoegd. De ontvangende server haalt de publieke sleutel op uit uw DNS, ontsleutelt de handtekening en berekent zelf opnieuw de hash. Komen beide overeen, dan is het bericht aantoonbaar onveranderd en authentiek.

            Omdat de handtekening op de inhoud is gebaseerd, valt DKIM bij doorgestuurde of gewijzigde berichten soms alsnog. Dat is normaal gedrag; juist daarom werkt DKIM het best in combinatie met SPF en een doordacht DMARC-beleid, dat bepaalt hoe streng er met mislukkingen wordt omgegaan.

            Praktische aandachtspunten bij DKIM

            • Roteer DKIM-sleutels periodiek voor extra veiligheid; bij CNAME-gebaseerde providers gebeurt dit vaak automatisch.
            • Gebruik bij voorkeur een sleutellengte van 2048 bits voor sterke beveiliging, mits uw DNS-provider de lange waarde ondersteunt.
            • Controleer na het inschakelen altijd een echte testmail; pas dan weet u zeker dat de handtekening slaagt.
            • Documenteer welke selectors u gebruikt, zodat u bij onderhoud weet welke records bij welke dienst horen.

            Samenvatting

            DKIM ondertekent uw uitgaande e-mail digitaal, zodat ontvangers de echtheid en integriteit kunnen controleren. Activeer DKIM bij uw mailprovider en publiceer de bijbehorende publieke sleutel als CNAME- of TXT-record onder de juiste selector in uw DNS. Activeer DKIM daarna in het beheerpaneel en test de handtekening. Combineer DKIM met SPF en DMARC voor optimale afleverbaarheid en bescherming.

            Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.

            Was dit artikel nuttig?

            Dat is fantastisch!

            Hartelijk dank voor uw beoordeling

            Sorry dat we u niet konden helpen

            Hartelijk dank voor uw beoordeling

            Laat ons weten hoe we dit artikel kunnen verbeteren!

            Selecteer tenminste een van de redenen
            CAPTCHA-verificatie is vereist.

            Feedback verzonden

            We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren

            Voorbeeld
            0 van 0