Wat is DKIM?
1 min read
Wat is DKIM?
1 min read
Gids Takeaways
DKIM voegt een cryptografische handtekening toe aan uitgaande e-mails om authenticiteit te bewijzen en knoeien te voorkomen.
Ontvangende servers valideren deze handtekening met behulp van de openbare sleutel die is gepubliceerd in uw DNS-records.
DKIM werkt samen met SPF en DMARC om een compleet e-mailauthenticatiekader te creëren.
Implementatie van DKIM verbetert de bezorgbaarheid, beschermt de reputatie van uw domein en vermindert spam- en phishingrisico's.
Elk bedrijf dat commerciële of transactionele e-mail verzendt, zou DKIM moeten implementeren als onderdeel van zijn basislijn voor e-mailbeveiliging.
DKIM alleen is niet voldoende—SPF en DMARC zijn vereist voor volledige afzenderbescherming.
Q&A Hoogtepunten
Wat is DKIM?
DKIM is een e-mailauthenticatiestandaard die een digitale handtekening toevoegt aan uitgaande e-mail, waarmee wordt bewezen dat het bericht is geautoriseerd en onveranderd.
Hoe werkt DKIM?
De afzender ondertekent elk bericht met een privésleutel, en ontvangers valideren het met behulp van de openbare sleutel die in DNS is opgeslagen.
Wat is een DKIM-handtekening?
Een speciaal e-mailkoptekst met cryptografische hashes van de berichtinhoud en geselecteerde kopteksten, gebruikt om de authenticiteit te verifiëren.
Waarom is DKIM belangrijk voor e-mailbezorging?
DKIM vermindert spamverdenkingen, verbetert de domeinreputatie, en vergroot de kans dat uw e-mails de Inbox bereiken.
Hoe verschilt DKIM van SPF?
SPF valideert wie toestemming heeft om e-mail te verzenden; DKIM valideert dat het bericht zelf niet is vervalst of gewijzigd.
Hoe verhoudt DKIM zich tot DMARC?
DMARC gebruikt DKIM (en SPF) resultaten om de beleidsregels van de domeineigenaar af te dwingen over hoe mislukte berichten moeten worden afgehandeld.
Hebben alle bedrijven DKIM nodig?
Ja—elk bedrijf dat marketing- of transactionele e-mails verstuurt, moet DKIM implementeren voor veiligheid en leverbaarheid.
Is DKIM voldoende op zichzelf?
Nee. Voor volledige bescherming en optimale plaatsing in de inbox, moet u SPF en DMARC samen met DKIM implementeren.
Begrip van DKIM
DomainKeys Identified Mail, of DKIM, is een technische standaard die helpt e-mailverzenders en ontvangers te beschermen tegen spam, spoofing en phishing. Het is een vorm van e-mailverificatie die een organisatie in staat stelt verantwoordelijkheid voor een bericht te claimen op een manier die door de ontvanger kan worden gevalideerd.
Specifiek gebruikt het een benadering genaamd “public key cryptography” om te verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, om vervalsing op te sporen en de bezorging van schadelijke e-mails zoals spam te voorkomen. Het vult SMTP aan, het basisprotocol dat wordt gebruikt om e-mail te verzenden, omdat het zelf geen verificatiemechanismen bevat.
DomainKeys Identified Mail, of DKIM, is een technische standaard die helpt e-mailverzenders en ontvangers te beschermen tegen spam, spoofing en phishing. Het is een vorm van e-mailverificatie die een organisatie in staat stelt verantwoordelijkheid voor een bericht te claimen op een manier die door de ontvanger kan worden gevalideerd.
Specifiek gebruikt het een benadering genaamd “public key cryptography” om te verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, om vervalsing op te sporen en de bezorging van schadelijke e-mails zoals spam te voorkomen. Het vult SMTP aan, het basisprotocol dat wordt gebruikt om e-mail te verzenden, omdat het zelf geen verificatiemechanismen bevat.
DomainKeys Identified Mail, of DKIM, is een technische standaard die helpt e-mailverzenders en ontvangers te beschermen tegen spam, spoofing en phishing. Het is een vorm van e-mailverificatie die een organisatie in staat stelt verantwoordelijkheid voor een bericht te claimen op een manier die door de ontvanger kan worden gevalideerd.
Specifiek gebruikt het een benadering genaamd “public key cryptography” om te verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, om vervalsing op te sporen en de bezorging van schadelijke e-mails zoals spam te voorkomen. Het vult SMTP aan, het basisprotocol dat wordt gebruikt om e-mail te verzenden, omdat het zelf geen verificatiemechanismen bevat.
Hoe werkt het?
Het werkt door een digitale handtekening toe te voegen aan de kopteksten van een e-mailbericht. Die handtekening kan worden gevalideerd tegen een openbare cryptografische sleutel in de Domain Name System (DNS)-records van de organisatie. In algemene termen werkt het proces als volgt:
Een domeineigenaar publiceert een cryptografische openbare sleutel als een speciaal opgemaakt TXT-record in de DNS-records van het domein.
Wanneer een mailbericht wordt verzonden door een uitgaande mailserver, genereert en voegt de server een unieke DKIM-handtekeningkoptekst aan het bericht toe. Deze koptekst bevat twee cryptografische hashes, een van gespecificeerde kopteksten en een van de berichtinhoud (of een deel ervan). De koptekst bevat informatie over hoe de handtekening is gegenereerd.
Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, zoekt deze de openbare DKIM-sleutel van de afzender op in DNS. De inkomende server gebruikt deze sleutel om de handtekening te ontsleutelen en deze te vergelijken met een vers berekende versie. Als de twee waarden overeenkomen, kan worden bewezen dat het bericht authentiek en onveranderd is tijdens het transport.
Het werkt door een digitale handtekening toe te voegen aan de kopteksten van een e-mailbericht. Die handtekening kan worden gevalideerd tegen een openbare cryptografische sleutel in de Domain Name System (DNS)-records van de organisatie. In algemene termen werkt het proces als volgt:
Een domeineigenaar publiceert een cryptografische openbare sleutel als een speciaal opgemaakt TXT-record in de DNS-records van het domein.
Wanneer een mailbericht wordt verzonden door een uitgaande mailserver, genereert en voegt de server een unieke DKIM-handtekeningkoptekst aan het bericht toe. Deze koptekst bevat twee cryptografische hashes, een van gespecificeerde kopteksten en een van de berichtinhoud (of een deel ervan). De koptekst bevat informatie over hoe de handtekening is gegenereerd.
Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, zoekt deze de openbare DKIM-sleutel van de afzender op in DNS. De inkomende server gebruikt deze sleutel om de handtekening te ontsleutelen en deze te vergelijken met een vers berekende versie. Als de twee waarden overeenkomen, kan worden bewezen dat het bericht authentiek en onveranderd is tijdens het transport.
Het werkt door een digitale handtekening toe te voegen aan de kopteksten van een e-mailbericht. Die handtekening kan worden gevalideerd tegen een openbare cryptografische sleutel in de Domain Name System (DNS)-records van de organisatie. In algemene termen werkt het proces als volgt:
Een domeineigenaar publiceert een cryptografische openbare sleutel als een speciaal opgemaakt TXT-record in de DNS-records van het domein.
Wanneer een mailbericht wordt verzonden door een uitgaande mailserver, genereert en voegt de server een unieke DKIM-handtekeningkoptekst aan het bericht toe. Deze koptekst bevat twee cryptografische hashes, een van gespecificeerde kopteksten en een van de berichtinhoud (of een deel ervan). De koptekst bevat informatie over hoe de handtekening is gegenereerd.
Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, zoekt deze de openbare DKIM-sleutel van de afzender op in DNS. De inkomende server gebruikt deze sleutel om de handtekening te ontsleutelen en deze te vergelijken met een vers berekende versie. Als de twee waarden overeenkomen, kan worden bewezen dat het bericht authentiek en onveranderd is tijdens het transport.
Wat is een DKIM-handtekening?
Een DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd. De header bevat waarden waarmee een ontvangende mailserver het e-mailbericht kan valideren door de DKIM-sleutel van de afzender op te zoeken en deze te gebruiken om de versleutelde handtekening te verifiëren. Het ziet er ongeveer zo uit:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh
Een DKIM-handtekeningheader bevat veel informatie, aangezien het is bedoeld voor geautomatiseerde verwerking. Zoals je in dit voorbeeld kunt zien, bevat de header een lijst van tag=waarde-onderdelen. Opvallende tags zijn onder andere “d=” voor het ondertekenende domein, “b=” voor de daadwerkelijke digitale handtekening, en “bh=” voor een hash die kan worden geverifieerd door de herberekening met de publieke sleutel van de afzender.
Handtekeningen zijn per definitie uniek van bericht tot bericht, maar deze basiselementen zullen in elke DKIM-handtekeningheader aanwezig zijn.
Component | Wat het is | Waarom het belangrijk is |
|---|---|---|
Publieke Sleutel (DNS TXT) | Cryptografische sleutel gepubliceerd in DNS | Gebruikt door ontvangende servers om de DKIM-handtekening te verifiëren |
DKIM-handtekeningheader | Metadata toegevoegd aan uitgaande e-mail | Bewijst dat het bericht legitiem is en niet is aangepast |
d= (Ondertekenend Domein) | Identificeert welk domein de e-mail heeft ondertekend | Maakt domeinniveau-reputatie en -uitlijningscontroles mogelijk |
b= (Handtekening) | Het daadwerkelijke cryptografische handtekeningblok | Valideert dat de e-mail niet is gemanipuleerd |
bh= (Body Hash) | Hash van de berichtinhoud | Bevestigt de integriteit van de inhoud van het bericht |
Selectors | Verwijzing naar de juiste DKIM-sleutel (s=) | Maakt sleutelrotatie en meerdere ondertekensleutels mogelijk |
DKIM + SPF + DMARC | Gecombineerd authenticatie-ecosysteem | Zorgt voor afzenderlegitimiteit, voorkomt spoofing en verbetert de bezorgbaarheid |
Een DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd. De header bevat waarden waarmee een ontvangende mailserver het e-mailbericht kan valideren door de DKIM-sleutel van de afzender op te zoeken en deze te gebruiken om de versleutelde handtekening te verifiëren. Het ziet er ongeveer zo uit:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh
Een DKIM-handtekeningheader bevat veel informatie, aangezien het is bedoeld voor geautomatiseerde verwerking. Zoals je in dit voorbeeld kunt zien, bevat de header een lijst van tag=waarde-onderdelen. Opvallende tags zijn onder andere “d=” voor het ondertekenende domein, “b=” voor de daadwerkelijke digitale handtekening, en “bh=” voor een hash die kan worden geverifieerd door de herberekening met de publieke sleutel van de afzender.
Handtekeningen zijn per definitie uniek van bericht tot bericht, maar deze basiselementen zullen in elke DKIM-handtekeningheader aanwezig zijn.
Component | Wat het is | Waarom het belangrijk is |
|---|---|---|
Publieke Sleutel (DNS TXT) | Cryptografische sleutel gepubliceerd in DNS | Gebruikt door ontvangende servers om de DKIM-handtekening te verifiëren |
DKIM-handtekeningheader | Metadata toegevoegd aan uitgaande e-mail | Bewijst dat het bericht legitiem is en niet is aangepast |
d= (Ondertekenend Domein) | Identificeert welk domein de e-mail heeft ondertekend | Maakt domeinniveau-reputatie en -uitlijningscontroles mogelijk |
b= (Handtekening) | Het daadwerkelijke cryptografische handtekeningblok | Valideert dat de e-mail niet is gemanipuleerd |
bh= (Body Hash) | Hash van de berichtinhoud | Bevestigt de integriteit van de inhoud van het bericht |
Selectors | Verwijzing naar de juiste DKIM-sleutel (s=) | Maakt sleutelrotatie en meerdere ondertekensleutels mogelijk |
DKIM + SPF + DMARC | Gecombineerd authenticatie-ecosysteem | Zorgt voor afzenderlegitimiteit, voorkomt spoofing en verbetert de bezorgbaarheid |
Een DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd. De header bevat waarden waarmee een ontvangende mailserver het e-mailbericht kan valideren door de DKIM-sleutel van de afzender op te zoeken en deze te gebruiken om de versleutelde handtekening te verifiëren. Het ziet er ongeveer zo uit:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh
Een DKIM-handtekeningheader bevat veel informatie, aangezien het is bedoeld voor geautomatiseerde verwerking. Zoals je in dit voorbeeld kunt zien, bevat de header een lijst van tag=waarde-onderdelen. Opvallende tags zijn onder andere “d=” voor het ondertekenende domein, “b=” voor de daadwerkelijke digitale handtekening, en “bh=” voor een hash die kan worden geverifieerd door de herberekening met de publieke sleutel van de afzender.
Handtekeningen zijn per definitie uniek van bericht tot bericht, maar deze basiselementen zullen in elke DKIM-handtekeningheader aanwezig zijn.
Component | Wat het is | Waarom het belangrijk is |
|---|---|---|
Publieke Sleutel (DNS TXT) | Cryptografische sleutel gepubliceerd in DNS | Gebruikt door ontvangende servers om de DKIM-handtekening te verifiëren |
DKIM-handtekeningheader | Metadata toegevoegd aan uitgaande e-mail | Bewijst dat het bericht legitiem is en niet is aangepast |
d= (Ondertekenend Domein) | Identificeert welk domein de e-mail heeft ondertekend | Maakt domeinniveau-reputatie en -uitlijningscontroles mogelijk |
b= (Handtekening) | Het daadwerkelijke cryptografische handtekeningblok | Valideert dat de e-mail niet is gemanipuleerd |
bh= (Body Hash) | Hash van de berichtinhoud | Bevestigt de integriteit van de inhoud van het bericht |
Selectors | Verwijzing naar de juiste DKIM-sleutel (s=) | Maakt sleutelrotatie en meerdere ondertekensleutels mogelijk |
DKIM + SPF + DMARC | Gecombineerd authenticatie-ecosysteem | Zorgt voor afzenderlegitimiteit, voorkomt spoofing en verbetert de bezorgbaarheid |
Hoe is het gerelateerd aan SPF, DMARC, of andere standaarden?
DKIM, SPF en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailauthenticatie mogelijk maken. Ze behandelen aanvullende kwesties.
SPF staat afzenders toe te bepalen welke IP-adressen zijn toegestaan om e-mail te verzenden voor een bepaald domein.
DKIM biedt een encryptiesleutel en digitale handtekening die verifieert dat een e-mailbericht niet is vervalst of gewijzigd.
DMARC verenigt de SPF- en DKIM-authenticatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat te verklaren hoe zij willen dat e-mail van dat domein wordt behandeld als het niet slaagt voor een autorisatietest.
DKIM, SPF en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailauthenticatie mogelijk maken. Ze behandelen aanvullende kwesties.
SPF staat afzenders toe te bepalen welke IP-adressen zijn toegestaan om e-mail te verzenden voor een bepaald domein.
DKIM biedt een encryptiesleutel en digitale handtekening die verifieert dat een e-mailbericht niet is vervalst of gewijzigd.
DMARC verenigt de SPF- en DKIM-authenticatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat te verklaren hoe zij willen dat e-mail van dat domein wordt behandeld als het niet slaagt voor een autorisatietest.
DKIM, SPF en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailauthenticatie mogelijk maken. Ze behandelen aanvullende kwesties.
SPF staat afzenders toe te bepalen welke IP-adressen zijn toegestaan om e-mail te verzenden voor een bepaald domein.
DKIM biedt een encryptiesleutel en digitale handtekening die verifieert dat een e-mailbericht niet is vervalst of gewijzigd.
DMARC verenigt de SPF- en DKIM-authenticatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat te verklaren hoe zij willen dat e-mail van dat domein wordt behandeld als het niet slaagt voor een autorisatietest.
Heb ik DKIM nodig?
Als u een bedrijf bent dat commerciële of transactionele e-mail verstuurt, moet u zeker een of meer vormen van e-mailverificatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf afkomstig is. Het correct configureren van e-mailverificatiestandaarden is een van de belangrijkste stappen die u kunt nemen om uw bezorgbaarheid te verbeteren. Echter, op zichzelf gaat het maar zo ver; SparkPost en andere e-mailexperts raden ook aan om SPF en DMARC te implementeren om een meer complete e-mailverificatiebeleid vast te stellen.
Als u een bedrijf bent dat commerciële of transactionele e-mail verstuurt, moet u zeker een of meer vormen van e-mailverificatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf afkomstig is. Het correct configureren van e-mailverificatiestandaarden is een van de belangrijkste stappen die u kunt nemen om uw bezorgbaarheid te verbeteren. Echter, op zichzelf gaat het maar zo ver; SparkPost en andere e-mailexperts raden ook aan om SPF en DMARC te implementeren om een meer complete e-mailverificatiebeleid vast te stellen.
Als u een bedrijf bent dat commerciële of transactionele e-mail verstuurt, moet u zeker een of meer vormen van e-mailverificatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf afkomstig is. Het correct configureren van e-mailverificatiestandaarden is een van de belangrijkste stappen die u kunt nemen om uw bezorgbaarheid te verbeteren. Echter, op zichzelf gaat het maar zo ver; SparkPost en andere e-mailexperts raden ook aan om SPF en DMARC te implementeren om een meer complete e-mailverificatiebeleid vast te stellen.
Meld je aan voor onze nieuwsbrief.
Blijf op de hoogte met Bird via wekelijkse updates in je inbox.
Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.
U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.
Meld je aan voor onze nieuwsbrief.
Blijf op de hoogte met Bird via wekelijkse updates in je inbox.
Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.
U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.
Meld je aan voor onze nieuwsbrief.
Blijf op de hoogte met Bird via wekelijkse updates in je inbox.
Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.
U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.
