DomainKeys Identified Mail, of DKIM, is een technische standaard die helpt om e-mailverzenders en -ontvangers te beschermen tegen spam, spoofing en phishing.  Het is een vorm van e-mailverificatie die een organisatie in staat stelt om verantwoordelijkheid voor een bericht te claimen op een manier die door de ontvanger kan worden gevalideerd.

Specifiek maakt het gebruik van een aanpak die "public key cryptography" wordt genoemd om te verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, om vervalsing te detecteren en de levering van schadelijke e-mails zoals spam te voorkomen. Het vult SMTP aan, het basisprotocol dat wordt gebruikt om e-mail te verzenden, omdat het zelf geen verificatiemechanismen bevat.

Hoe werkt het ?

Het werkt door een digitale handtekening toe te voegen aan de headers van een e-mailbericht.  Die handtekening kan worden gevalideerd aan de hand van een publieke cryptografische sleutel in de DNS-records van de organisatie. In algemene termen werkt het proces als volgt:

Een domeineigenaar publiceert een cryptografische publieke sleutel als een speciaal ingedeeld TXT-record in de algemene DNS-records van het domein.

Wanneer een e-mailbericht wordt verzonden door een uitgaande mailserver, genereert en voegt de server een unieke DKIM-handtekeningheader toe aan het bericht.  Deze header bevat twee cryptografische hashes, één van gespecificeerde headers en één van het berichtlichaam (of een deel daarvan). De header bevat informatie over hoe de handtekening is gegenereerd.

Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, zoekt deze de publieke DKIM-sleutel van de afzender op in DNS. De inkomende server gebruikt deze sleutel om de handtekening te ontsleutelen en te vergelijken met een vers berekende versie. Als de twee waarden overeenkomen, kan worden bewezen dat het bericht authentiek en onveranderd is tijdens het transport.

Wat is een DKIM-handtekening?

Een DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd. De header bevat waarden waarmee een ontvangende mailserver het e-mailbericht kan valideren door de DKIM-sleutel van de afzender op te zoeken en deze te gebruiken om de versleutelde handtekening te controleren. Het ziet er ongeveer zo uit:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Een DKIM-handtekeningheader bevat veel informatie, aangezien deze bedoeld is voor geautomatiseerde verwerking. Zoals u in dit voorbeeld kunt zien, bevat de header een lijst met tag=waarde delen. Opvallende tags zijn onder andere "d=" voor het ondertekenende domein, "b=" voor de feitelijke digitale handtekening en "bh=" voor een hash die kan worden geverifieerd door opnieuw te berekenen met de publieke sleutel van de afzender.

Handtekeningen zijn per definitie uniek van bericht tot bericht, maar deze basiselementen zullen aanwezig zijn in elke DKIM-handtekeningheader.

Hoe is het gerelateerd aan SPF, DMARC of andere standaarden?

DKIM, SPF en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailverificatie mogelijk maken. Ze behandelen aanvullende kwesties.

• SPF staat afzenders toe om te definiëren welke IP-adressen e-mails mogen verzenden voor een bepaald domein.

• DKIM biedt een encryptiesleutel en een digitale handtekening die verifieert dat een e-mailbericht niet vervalst of gewijzigd is.

• DMARC verenigt de SPF en DKIM-verificatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat aan te geven hoe ze willen dat e-mail van dat domein wordt behandeld als het een autorisatietest niet doorstaat.

Heb ik DKIM nodig?

Als u een bedrijf bent dat commerciële of transactionele e-mails verzendt, dan moet u zeker een of meer vormen van e-mailverificatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf afkomstig is. Het correct configureren van e-mailverificatiestandaarden is een van de belangrijkste stappen die u kunt nemen om uw afleverbaarheid te verbeteren. Echter, op zichzelf gaat het slechts zover; SparkPost en andere e-mailexperts raden ook aan om SPF en DMARC te implementeren om een meer compleet e-mailverificatiebeleid te definiëren.