DKIM ondertekent uitgaande e-mail digitaal, zodat ontvangers kunnen verifiëren dat berichten echt van uw domein komen. In Microsoft 365 schakelt u DKIM in door twee CNAME-records in DNS te plaatsen en DKIM te activeren in het Microsoft Defender-portaal. In dit artikel leest u hoe u dit stap voor stap doet.
Probleem
Uw uitgaande e-mail vanuit Microsoft 365 wordt vaker als spam gemarkeerd of mist een geldige DKIM-ondertekening. Zonder DKIM ontbreekt een belangrijk authenticatiesignaal, wat de afleverbaarheid en het vertrouwen in uw e-mail verlaagt.
Oorzaak
Microsoft 365 ondertekent standaard met een algemeen onedrive-domein in plaats van uw eigen domein, tenzij u DKIM expliciet voor uw domein inschakelt.
Hiervoor zijn twee CNAME-records nodig die naar de Microsoft-infrastructuur wijzen. Ontbreken deze, dan kan DKIM niet voor uw eigen domein worden geactiveerd.
Een veelgemaakte fout is het wel plaatsen van de CNAME-records, maar het vergeten DKIM daadwerkelijk in te schakelen in het Defender-portaal, of andersom.
Oplossing
Plaats de twee door Microsoft opgegeven CNAME-selectorrecords in het DNS van uw domein.
Schakel DKIM voor het domein in via het Microsoft Defender-portaal nadat de records resolven.
Combineer DKIM met een correct SPF- en DMARC-record voor de beste afleverbaarheid.
Stappenplan
- Open het Microsoft Defender-portaal en ga naar de e-mailauthenticatie-instellingen.
- Selecteer uw domein bij DKIM.
- Noteer de twee opgegeven CNAME-selectorrecords (selector1 en selector2).
- Plaats deze CNAME-records in het DNS van uw domein.
- Wacht tot de records resolven (propagatie).
- Schakel DKIM voor het domein in in het Defender-portaal.
- Verstuur een testmail en controleer de DKIM-uitslag in de headers.
- Controleer dat met uw eigen domein wordt ondertekend.
Voorbeeld DKIM CNAME-records (Microsoft 365)
Microsoft 365 gebruikt twee CNAME-selectors die naar de Microsoft-infrastructuur wijzen. Onderstaand het patroon.
Voorbeeld:
selector1._domainkey CNAME selector1-._domainkey..onmicrosoft.com selector2._domainkey CNAME selector2-._domainkey..onmicrosoft.com
Waarom twee selectors en CNAME’s
Microsoft 365 gebruikt twee DKIM-selectors zodat het sleutels kan rouleren zonder onderbreking: terwijl de ene selector actief is, kan de andere worden vernieuwd. De CNAME-records verwijzen naar de Microsoft-infrastructuur, die de daadwerkelijke sleutels beheert. Daardoor hoeft u zelf geen sleutels te kopiëren of te vernieuwen.
Deze opzet maakt DKIM in Microsoft 365 eenvoudiger te onderhouden dan bij zelf gehoste e-mail, waar u de publieke sleutel handmatig in een TXT-record zet. De keerzijde is dat beide CNAME-records correct moeten resolven voordat u DKIM kunt inschakelen.
DKIM staat niet op zichzelf. Voor een sterke e-mailauthenticatie combineert u het met SPF en DMARC, zodat ontvangende servers meerdere signalen hebben om de echtheid van uw e-mail te beoordelen.
- Twee selectors maken sleutelrotatie mogelijk
- CNAME’s verwijzen naar de Microsoft-infrastructuur
- Combineer DKIM met SPF en DMARC
Veelgemaakte fouten
- De CNAME-records plaatsen maar DKIM niet inschakelen in het Defender-portaal.
- DKIM inschakelen voordat de CNAME-records resolven.
- Slechts één van de twee selectors plaatsen.
- Een typefout in de CNAME-waarde.
- DKIM instellen zonder SPF en DMARC.
- Niet controleren of met het eigen domein wordt ondertekend.
Controle na afloop
- Controleer dat beide CNAME-selectors resolven.
- Controleer in het Defender-portaal dat DKIM is ingeschakeld.
- Verstuur een testmail en bekijk de DKIM-Signature in de headers.
- Controleer dat het ondertekenende domein uw eigen domein is.
Praktische tips
- Plaats beide CNAME-records voordat u DKIM inschakelt.
- Gebruik exact de door Microsoft opgegeven waarden.
- Combineer DKIM altijd met SPF en DMARC.
- Controleer na het inschakelen de ondertekening in een testmail.
Veelgestelde vragen
Gebruikt Microsoft 365 TXT- of CNAME-records voor DKIM?
Microsoft 365 gebruikt twee CNAME-selectorrecords die naar de Microsoft-infrastructuur wijzen, in plaats van een directe TXT-sleutel.
Moet ik DKIM-sleutels in Microsoft 365 zelf vernieuwen?
Nee. Microsoft beheert de sleutels achter de CNAME-records en regelt de rotatie. U hoeft de sleutels niet handmatig te vernieuwen.
Waarom moet ik DKIM nog inschakelen na het plaatsen van de records?
De CNAME-records maken DKIM mogelijk, maar pas na het inschakelen in het Defender-portaal ondertekent Microsoft 365 met uw eigen domein.
Samenvatting
DKIM in Microsoft 365 schakelt u in door twee CNAME-selectorrecords in DNS te plaatsen en DKIM vervolgens te activeren in het Microsoft Defender-portaal. Microsoft beheert de sleutels en rotatie. Wacht tot de records resolven, schakel DKIM in en controleer in een testmail dat met uw eigen domein wordt ondertekend. Combineer DKIM met SPF en DMARC.
Gerelateerde artikelen
- DKIM instellen: e-mail digitaal ondertekenen
- SPF-record instellen: e-mail authenticeren tegen spoofing
- DMARC instellen: beleid en rapportage voor e-mail
Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren