DomainKeys Identified Mail, of DKIM, is een technische standaard die helpt e-mailzenders en -ontvangers te beschermen tegen spam, spoofing en phishing.  Het is een vorm van e-mailauthenticatie die een organisatie toestaat verantwoordelijkheid te nemen voor een bericht op een manier die door de ontvanger kan worden gevalideerd.

Specifiek gebruikt het een aanpak genaamd “public key cryptography” om te verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, om vervalsing op te sporen en de levering van schadelijke e-mails zoals spam te voorkomen. Het vult SMTP aan, het basale protocol dat wordt gebruikt om e-mails te verzenden, omdat het zelf geen authenticatiemechanismen bevat.

Hoe werkt het?

Het werkt door een digitale handtekening toe te voegen aan de headers van een e-mailbericht. Die handtekening kan worden gevalideerd tegen een openbare cryptografische sleutel in de DNS-records van de organisatie. In algemene termen werkt het proces als volgt:

Een domeineigenaar publiceert een cryptografische openbare sleutel als een speciaal geformatteerd TXT-record in de algemene DNS-records van het domein.

Wanneer een mailbericht wordt verzonden door een uitgaande mailserver, genereert de server en voegt een unieke DKIM-handtekeningheader toe aan het bericht. Deze header bevat twee cryptografische hashes, één van gespecificeerde headers en één van de berichttekst (of een deel daarvan). De header bevat informatie over hoe de handtekening is gegenereerd.

Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, zoekt het de publieke DKIM-sleutel van de afzender op in DNS. De inkomende server gebruikt deze sleutel om de handtekening te ontsleutelen en deze te vergelijken met een vers berekende versie. Als de twee waarden overeenkomen, kan worden bewezen dat het bericht authentiek en onveranderd is tijdens verzending.

Wat is een DKIM handtekening?

Een DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd. De header bevat waarden die een ontvangende mailserver in staat stellen om het e-mailbericht te valideren door de DKIM-sleutel van de afzender op te zoeken en deze te gebruiken om de versleutelde handtekening te verifiëren. Het ziet er ongeveer zo uit:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Een DKIM-handtekeningheader bevat veel informatie, aangezien het is bedoeld voor geautomatiseerde verwerking. Zoals je in dit voorbeeld kunt zien, bevat de header een lijst van tag=waarde onderdelen. Opmerkelijke tags omvatten “d=” voor het ondertekeningsdomein, “b=” voor de eigenlijke digitale handtekening, en “bh=” voor een hash die kan worden geverifieerd door herberekening met behulp van de openbare sleutel van de afzender.

Handtekeningen zijn per definitie uniek van bericht tot bericht, maar deze basiselementen zullen in elke DKIM-handtekeningheader aanwezig zijn.

Hoe verhoudt het zich tot SPF, DMARC of andere standaarden?

DKIM, SPF en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailauthenticatie mogelijk maken. Ze behandelen complementaire problemen.

• SPF staat zenders toe te definiëren welke IP-adressen mogen mailen voor een specifiek domein.

• DKIM biedt een versleutelingssleutel en digitale handtekening die verifiëert dat een e-mailbericht niet is vervalst of gewijzigd.

• DMARC verenigt de SPF- en DKIM-authenticatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat te verklaren hoe ze willen dat e-mail van dat domein wordt behandeld als het een autorisatietest niet doorstaat.

Heb ik DKIM nodig?

Als u een bedrijf bent dat commerciële of transactionele e-mails verzendt, moet u zeker een of meer vormen van e-mailauthenticatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf afkomstig is. Het correct configureren van e-mailauthenticatiestandaarden is een van de belangrijkste stappen die u kunt nemen om uw bezorgbaarheid te verbeteren. Echter, op zichzelf gaat het maar zo ver; SparkPost en andere e-mailspecialisten bevelen ook aan om SPF en DMARC te implementeren om een meer complete e-mailauthenticatiebeleid te definiëren.