DomainKeys Identified Mail, of DKIM, is een technische standaard die helpt om e-mailzenders en ontvangers te beschermen tegen spam, spoofing en phishing.  Het is een vorm van e-mailauthenticatie die een organisatie in staat stelt om verantwoordelijkheid voor een bericht te claimen op een manier die door de ontvanger kan worden gevalideerd.

Specifiek gebruikt het een benadering genaamd "public key cryptography" om te verifiëren dat een e-mailbericht is verzonden van een geautoriseerde mailserver, om vervalsing te detecteren en schadelijke e-mail zoals spam te voorkomen. Het vult SMTP aan, het basisprotocol dat wordt gebruikt om e-mail te verzenden, omdat het zelf geen authenticatiemechanismen bevat.

Hoe werkt het?

Het werkt door een digitale handtekening toe te voegen aan de headers van een e-mailbericht. Die handtekening kan worden gevalideerd aan de hand van een publieke cryptografische sleutel in de DNS-records van de organisatie. In algemene termen werkt het proces als volgt:

Een domeineigenaar publiceert een cryptografische publieke sleutel als een speciaal geformatteerd TXT-record in de algemene DNS-records van het domein.

Wanneer een mailbericht wordt verzonden door een uitgaande mailserver, genereert de server en voegt het een unieke DKIM-handtekeningheader toe aan het bericht. Deze header bevat twee cryptografische hashes, een van de gespecificeerde headers, en een van de berichtinhoud (of een deel daarvan). De header bevat informatie over hoe de handtekening is gegenereerd.

Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, zoekt het de openbare DKIM-sleutel van de afzender op in DNS. De inkomende server gebruikt deze sleutel om de handtekening te ontsleutelen en te vergelijken met een vers berekende versie. Als de twee waarden overeenkomen, kan worden bewezen dat het bericht authentiek en niet gewijzigd is tijdens het transport.

Wat is een DKIM-handtekening?

Een DKIM-handtekening is een header die wordt toegevoegd aan e-mailberichten. De header bevat waarden waarmee een ontvangende mailserver het e-mailbericht kan valideren door de DKIM-sleutel van de afzender op te zoeken en te gebruiken om de versleutelde handtekening te verifiëren. Het ziet er ongeveer zo uit:

DKIM-Signature: v=1; 
  a=rsa-sha256; 
  c=relaxed/relaxed; 
  d=sparkpost.com; 
  s=google; 
  h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; 
  bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; 
  b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Een DKIM-handtekeningheader bevat veel informatie, aangezien het bedoeld is voor geautomatiseerde verwerking. Zoals je in dit voorbeeld kunt zien, bevat de header een lijst van tag=waarde delen. Opvallende tags zijn "d=" voor het ondertekenende domein, "b=" voor de eigenlijke digitale handtekening, en "bh=" voor een hash die kan worden geverifieerd door deze opnieuw te berekenen met behulp van de publieke sleutel van de afzender.

Handtekeningen zijn per definitie uniek van bericht tot bericht, maar deze basiselementen zullen aanwezig zijn in elke DKIM-handtekeningheader.

Hoe is het gerelateerd aan SPF, DMARC of andere standaarden?

DKIM, SPF en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailauthenticatie mogelijk maken. Ze behandelen complementaire kwesties.

• SPF stelt afzenders in staat te definiëren welke IP-adressen zijn toegestaan om mail voor een bepaald domein te verzenden.

• DKIM biedt een versleutelingssleutel en digitale handtekening die verifieert dat een e-mailbericht niet is vervalst of gewijzigd.

• DMARC verenigt de SPF en DKIM-authenticatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat om te verklaren hoe ze e-mail van dat domein willen laten behandelen als het faalt voor een autorisatietest.

Heb ik DKIM nodig?

Als je een bedrijf bent dat commerciële of transactionele e-mails verzendt, moet je zeker een of meer vormen van e-mailauthenticatie implementeren om te verifiëren dat een e-mail daadwerkelijk van jou of je bedrijf afkomstig is. Het correct configureren van e-mailauthenticatiestandaarden is een van de belangrijkste stappen die je kunt nemen om je bezorgbaarheid te verbeteren. Echter, op zichzelf gaat het maar zo ver; SparkPost en andere e-mailexperts raden ook aan om SPF en DMARC te implementeren om een vollediger e-mailauthenticatiebeleid te definiëren.