DomainKeys Identified Mail, of DKIM, is een technische standaard die helpt om e-mailverzenders en -ontvangers te beschermen tegen spam, spoofing en phishing.  Het is een vorm van e-mailauthenticatie die een organisatie in staat stelt om verantwoordelijkheid te claimen voor een bericht op een manier die door de ontvanger kan worden gevalideerd.

Specifiek, het maakt gebruik van een benadering genaamd "public key cryptography" om te verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, om vervalsing te detecteren en de levering van schadelijke e-mail zoals spam te voorkomen. Het vult SMTP aan, het basisprotocol dat wordt gebruikt om e-mail te verzenden, omdat het zelf geen authenticatiemechanismen bevat.

Hoe werkt het?

Het werkt door een digitale handtekening toe te voegen aan de headers van een e-mailbericht. Die handtekening kan worden gevalideerd tegen een openbare cryptografische sleutel in de DNS-records van de organisatie. Algemeen werkt het proces als volgt:

Een domeineigenaar publiceert een cryptografische openbare sleutel als een speciaal geformatteerd TXT-record in de DNS-records van het domein.

Wanneer een mailbericht wordt verzonden door een uitgaande mailserver, genereert de server een unieke DKIM-handtekeningheader en hecht deze aan het bericht. Deze header bevat twee cryptografische hashes, een van gespecificeerde headers en een van de berichttekst (of een deel ervan). De header bevat informatie over hoe de handtekening is gegenereerd.

Wanneer een inkomende mailserver een inkomende e-mail ontvangt, zoekt het de openbare DKIM-sleutel van de verzender op in DNS. De inkomende server gebruikt deze sleutel om de handtekening te ontsleutelen en te vergelijken met een vers berekende versie. Als de twee waarden overeenkomen, kan worden bewezen dat het bericht authentiek is en tijdens overdracht niet is gewijzigd.

Wat is een DKIM handtekening?

Een DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd. De header bevat waarden die een ontvangende mailserver in staat stellen het e-mailbericht te valideren door de DKIM-sleutel van de verzender op te zoeken en deze te gebruiken om de versleutelde handtekening te verifiëren. Het ziet er ongeveer zo uit:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Een DKIM-handtekeningheader bevat veel informatie, aangezien deze bedoeld is voor geautomatiseerde verwerking. Zoals je in dit voorbeeld kunt zien, bevat de header een lijst met tag=waarde delen. Opvallende tags zijn "d=" voor het ondertekenende domein, "b=" voor de daadwerkelijke digitale handtekening, en "bh=" voor een hash die kan worden geverifieerd door opnieuw te berekenen met behulp van de openbare sleutel van de verzender.

Handtekeningen zijn per definitie uniek van bericht tot bericht, maar deze basiselementen zullen aanwezig zijn in elke DKIM-handtekeningheader.

Hoe is het gerelateerd aan SPF, DMARC of andere standaarden?

DKIM, SPF en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailauthenticatie mogelijk maken. Ze behandelen complementaire kwesties.

• SPF stelt verzenders in staat te definiëren welke IP-adressen mogen mailen voor een bepaald domein.

• DKIM biedt een encryptiesleutel en digitale handtekening die verifieert dat een e-mailbericht niet is vervalst of gewijzigd.

• DMARC verenigt de SPF en DKIM authenticatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat te verklaren hoe zij willen dat e-mail van dat domein wordt behandeld als het een autorisatietest niet slaagt.

Heb ik DKIM nodig?

Als je een bedrijf bent dat commerciële of transactionele e-mails verstuurt, moet je zeker een of meer vormen van e-mailauthenticatie implementeren om te verifiëren dat een e-mail daadwerkelijk van jou of je bedrijf afkomstig is. Het correct configureren van e-mailauthenticatiestandaarden is een van de belangrijkste stappen die je kunt nemen om je bezorgbaarheid te verbeteren. Echter, op zichzelf gaat het maar zo ver; SparkPost en andere e-mailexperts raden ook aan SPF en DMARC te implementeren om een completer e-mailauthenticatiebeleid te definiëren.