DKIM: digitale handtekening voor e-mail
DKIM staat voor DomainKeys Identified Mail. Met DKIM ondertekent de verzendende mailserver een bericht cryptografisch. De ontvangende server kan met een publieke sleutel in DNS controleren of het bericht onderweg niet is aangepast en of het namens het domein is ondertekend.
Hoe werkt DKIM?
Bij het verzenden voegt de mailserver een DKIM-Signature header toe aan het bericht. Daarin staat onder andere welk domein heeft ondertekend en welke selector is gebruikt. De ontvanger haalt de publieke sleutel op uit DNS en controleert de handtekening.
Wat is een selector?
Een selector is een naam waarmee meerdere DKIM-sleutels naast elkaar kunnen bestaan. Daardoor kun je sleutels roteren zonder mail direct te onderbreken. Een DKIM-record staat meestal op een DNS-naam zoals:
selector._domainkey.example.nlWat staat er in DNS?
Een DKIM-record is meestal een TXT-record met een publieke sleutel. De private sleutel blijft op de mailserver en mag nooit gepubliceerd worden.
Waarom is DKIM belangrijk?
- Het helpt ontvangers te controleren dat mail echt door een bevoegde server is ondertekend.
- Het maakt DMARC mogelijk wanneer het DKIM-domein overeenkomt met het zichtbare afzenderdomein.
- Het verbetert de reputatie en betrouwbaarheid van uitgaande mail.
Waar moet je op letten?
- Publiceer alleen de publieke sleutel, nooit de private sleutel.
- Gebruik voldoende sterke sleutels.
- Controleer na DNS-wijzigingen of berichten daadwerkelijk een geldige DKIM-handtekening krijgen.
- Roteer sleutels zorgvuldig: eerst nieuwe sleutel publiceren, daarna mailserver laten ondertekenen met de nieuwe selector.
Professionele mailhosting voor je domein?
BasisHost helpt met veilige zakelijke e-mail, webmail, spamfiltering en correcte DNS-instellingen zoals SPF, DKIM, DMARC en DANE.