DomainKeys Identified Mail, of DKIM, is een technische standaard die helpt om e-mailzenders en ontvangers te beschermen tegen spam, spoofing en phishing.  Het is een vorm van e-mailverificatie waarmee een organisatie verantwoordelijkheid kan claimen voor een bericht op een manier die door de ontvanger kan worden gevalideerd.

Specifiek gebruikt het een benadering genaamd “public key cryptografie” om te verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, om vervalsing te detecteren en de bezorging van schadelijke e-mails zoals spam te voorkomen. Het vult SMTP aan, het basisprotocol dat gebruikt wordt om e-mails te versturen, omdat het zelf geen verificatiemechanismen bevat.

Hoe werkt het?

Het werkt door een digitale handtekening toe te voegen aan de headers van een e-mailbericht. Die handtekening kan worden gevalideerd aan de hand van een openbare cryptografische sleutel in de Domain Name System (DNS) records van de organisatie. In algemene termen werkt het proces als volgt:

Een domeineigenaar publiceert een cryptografische openbare sleutel als een speciaal geformatteerd TXT-record in de algemene DNS-records van het domein.

Wanneer een e-mailbericht wordt verzonden door een uitgaande mailserver, genereert de server en voegt een unieke DKIM-handtekeningheader toe aan het bericht. Deze header bevat twee cryptografische hashes, één van specifieke headers en één van de berichttekst (of een deel ervan). De header bevat informatie over hoe de handtekening is gegenereerd.

Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, zoekt deze de openbare DKIM-sleutel van de zender op in DNS. De inkomende server gebruikt deze sleutel om de handtekening te ontsleutelen en te vergelijken met een vers berekende versie. Als de twee waarden overeenkomen, kan worden bewezen dat het bericht authentiek en onveranderd is tijdens transport.

Wat is een DKIM-handtekening?

Een DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd. De header bevat waarden waarmee een ontvangende mailserver het e-mailbericht kan valideren door de DKIM-sleutel van de afzender op te zoeken en deze te gebruiken om de versleutelde handtekening te verifiëren. Het ziet er als volgt uit:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Een DKIM-handtekeningheader bevat veel informatie, omdat het is bedoeld voor geautomatiseerde verwerking. Zoals je in dit voorbeeld kunt zien, bevat de header een lijst van tag=waarde delen. Noemenswaardige tags zijn onder andere “d=” voor het ondertekenende domein, “b=” voor de daadwerkelijke digitale handtekening, en “bh=” voor een hash die kan worden geverifieerd door opnieuw te berekenen met behulp van de openbare sleutel van de afzender.

Handtekeningen zijn per definitie uniek van bericht tot bericht, maar deze basisonderdelen zullen in elke DKIM-handtekeningheader aanwezig zijn.

Hoe is het gerelateerd aan SPF, DMARC, of andere standaarden?

DKIM, SPF, en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailverificatie mogelijk maken. Ze behandelen complementaire kwesties.

• SPF laat zenders toe om te definiëren welke IP-adressen zijn toegestaan om e-mails te verzenden voor een bepaald domein.

• DKIM biedt een versleuteling sleutel en digitale handtekening die verifieert dat een e-mailbericht niet vervalst of gewijzigd is.

• DMARC verenigt de SPF- en DKIM-verificatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat te verklaren hoe zij willen dat e-mail van dat domein wordt afgehandeld als het niet slaagt voor een autorisatietest.

Heb ik DKIM nodig?

Als u een bedrijf bent dat commerciële of transactionele e-mails verstuurt, moet u zeker een of meer vormen van e-mailverificatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf komt. Het correct configureren van e-mailverificatiestandaarden is een van de belangrijkste stappen die u kunt nemen om uw bezorgbaarheid te verbeteren. Echter, op zichzelf gaat het maar zo ver; SparkPost en andere e-mailexperts raden ook aan om SPF en DMARC te implementeren om een completer e-mailverificatiebeleid te definiëren.