DKIM ondertekent uitgaande e-mail digitaal, zodat ontvangers kunnen verifiëren dat een bericht echt van uw domein komt en onderweg niet is gewijzigd. Wanneer DKIM faalt, wordt e-mail vaker als spam gemarkeerd. Veelvoorkomende oorzaken zijn een ontbrekende record, een verkeerde selector of een ongeldige sleutel. In dit artikel leest u hoe u DKIM-fouten oplost.
Probleem
Een e-mailcontrole geeft aan dat DKIM faalt of dat de handtekening ongeldig is, en uw e-mail belandt vaker in de spam. De ontvangende server kan de DKIM-handtekening niet verifiëren tegen de publieke sleutel in uw DNS.
Oorzaak
DKIM werkt met een sleutelpaar: de mailserver ondertekent met de private sleutel, de ontvanger verifieert met de publieke sleutel die als TXT-record in uw DNS staat. Ontbreekt deze publieke record of staat die op de verkeerde selector, dan faalt de verificatie.
Een veelvoorkomende fout is een onjuiste selector. De DKIM-record staat op selector._domainkey.uwdomein.nl; een verkeerde of niet-bestaande selector zorgt dat de ontvanger de sleutel niet vindt.
Andere oorzaken zijn een onvolledig gekopieerde sleutel (DKIM-sleutels zijn lang en breken snel), een sleutel die niet overeenkomt met die op de mailserver, of een wijziging aan de mailserver zonder dat de DNS-record is bijgewerkt.
Oplossing
Achterhaal de selector die uw mailserver gebruikt en controleer of de bijbehorende DKIM-record in DNS bestaat.
Vergelijk de publieke sleutel in de DNS-record met de sleutel die de mailprovider opgeeft; kopieer de sleutel volledig en zonder regeleinden of spaties.
Werk bij een sleutelwissel aan de mailserver ook de DNS-record bij, en wacht op propagatie voordat u opnieuw test.
Stappenplan
- Bepaal de DKIM-selector die uw mailserver gebruikt.
- Vraag de DKIM-record op via selector._domainkey.uwdomein.nl.
- Controleer of de record bestaat en een geldige publieke sleutel bevat.
- Vergelijk de sleutel met die van uw mailprovider.
- Corrigeer een onvolledige of verkeerde sleutel; kopieer volledig.
- Werk de record bij na een sleutelwissel op de mailserver.
- Sla op en wacht op propagatie.
- Verstuur een testmail en controleer de DKIM-uitslag in de headers.
Voorbeeld DKIM-record
Een DKIM-record is een TXT-record op de selector. Onderstaand een verkort voorbeeld; de echte sleutel is veel langer.
Voorbeeld:
Naam: selector1._domainkey.uwdomein.nl Type: TXT Waarde: v=DKIM1; k=rsa; p=MIGfMA0GCSq...AB
Waarom DKIM-sleutels vaak fout gaan
DKIM-sleutels zijn lang en bevatten een aaneengesloten reeks tekens. Bij het kopiëren ontstaan snel fouten doordat er regeleinden, spaties of afgekapte delen in sluipen. Eén ontbrekend of extra teken maakt de hele sleutel ongeldig, waardoor verificatie faalt.
Veel e-mailplatforms, waaronder Microsoft 365, gebruiken twee selectors die naar de infrastructuur van de provider verwijzen via een CNAME in plaats van een directe sleutel. In dat geval controleert u of de CNAME-records correct zijn ingesteld in plaats van de sleutel zelf.
Het is belangrijk om na een sleutelvernieuwing of providerwissel altijd te controleren of de DNS-record nog overeenkomt met de actieve sleutel op de mailserver. Een mismatch is een van de meest voorkomende oorzaken van plotseling falende DKIM.
- Sleutels breken snel door spaties of regeleinden
- Microsoft 365 gebruikt vaak twee CNAME-selectors
- Controleer DNS en mailserver na elke sleutelwissel
Veelgemaakte fouten
- De DKIM-record op de verkeerde selector plaatsen.
- De publieke sleutel onvolledig kopiëren.
- Een sleutel in DNS laten staan die niet overeenkomt met de mailserver.
- Bij Microsoft 365 de CNAME-records vergeten of verkeerd instellen.
- Na een sleutelwissel de DNS-record niet bijwerken.
- Niet wachten op propagatie voordat u test.
Controle na afloop
- Vraag de DKIM-record op de juiste selector op.
- Controleer dat de sleutel volledig en geldig is.
- Verstuur een testmail en bekijk de DKIM-uitslag in de headers.
- Controleer bij Microsoft 365 dat beide CNAME-selectors resolven.
Praktische tips
- Kopieer DKIM-sleutels in één keer, zonder spaties of regeleinden.
- Gebruik bij Microsoft 365 de aanbevolen CNAME-selectors.
- Controleer DKIM na elke wijziging aan de mailserver.
- Combineer DKIM met SPF en DMARC voor de beste bescherming.
Veelgestelde vragen
Hoe vind ik mijn DKIM-selector?
De selector staat in de headers van een verzonden e-mail bij de DKIM-Signature (s=). Uw mailprovider geeft de selector ook op bij het instellen.
Waarom faalt DKIM ineens na maanden goed te werken?
Vaak door een sleutelvernieuwing of providerwijziging waarbij de DNS-record niet is bijgewerkt. Controleer of de record nog overeenkomt met de actieve sleutel.
Gebruikt Microsoft 365 een TXT- of CNAME-record voor DKIM?
Microsoft 365 gebruikt doorgaans twee CNAME-selectors die naar de Microsoft-infrastructuur wijzen, in plaats van een directe TXT-sleutel.
Samenvatting
DKIM-fouten ontstaan meestal door een ontbrekende record, een verkeerde selector of een onvolledig gekopieerde sleutel. Controleer de selector, vergelijk de publieke sleutel met die van uw provider en werk de DNS-record bij na elke sleutelwissel. Bij Microsoft 365 controleert u de twee CNAME-selectors. Test daarna met een e-mail en bekijk de DKIM-uitslag.
Gerelateerde artikelen
- DKIM instellen: e-mail digitaal ondertekenen
- SPF-record instellen: e-mail authenticeren tegen spoofing
- DMARC instellen: beleid en rapportage voor e-mail
Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren