Home Handleidingen DKIM Implementatie

DKIM: Digitale Handtekeningen voor E-mail

Leestijd: 7 minuten Niveau: Gemiddeld Categorie: E-mail Beveiliging

Snel overzicht

DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan je e-mails. Hiermee kunnen ontvangers verifiëren dat de e-mail écht van jouw domein komt en niet is aangepast tijdens het transport.

Wat is DKIM?

DKIM staat voor DomainKeys Identified Mail. Het is een beveiligingstechnologie die een cryptografische handtekening toevoegt aan elke uitgaande e-mail. Deze handtekening bewijst twee dingen:

  • De e-mail komt daadwerkelijk van jouw domein
  • De inhoud is niet aangepast tijdens verzending

Vergelijk het met een zegel op een brief:

  • Het zegel bewijst wie de afzender is
  • Een gebroken zegel toont dat iemand de brief heeft geopend
  • Alleen de echte afzender kan het zegel aanbrengen

Waarom DKIM belangrijk is

  • Voorkomt dat e-mails worden aangepast door hackers
  • Verbetert je e-mail deliverability (minder spam)
  • Vereist voor DMARC beveiliging
  • Bouwt vertrouwen op bij ontvangers

Hoe werkt DKIM?

DKIM werkt met publieke en private sleutels (asymmetrische encryptie):

  1. Je mailserver heeft een private sleutel
    Deze sleutel is geheim en wordt gebruikt om e-mails te "ondertekenen"
  2. Je publiceert de publieke sleutel in DNS
    Als een TXT record zodat iedereen deze kan opvragen
  3. Bij verzending
    Je mailserver maakt een hash (vingerafdruk) van de e-mail inhoud en ondertekent deze met de private sleutel
  4. Bij ontvangst
    De ontvangende server haalt je publieke sleutel op uit DNS en controleert de handtekening
  5. Verificatie
    Als de handtekening klopt: ✓ E-mail is authentiek
    Als niet: ✗ E-mail is aangepast of vervalst

DKIM Instellen: Stap voor Stap

Stap 1: Genereer een DKIM sleutelpaar

De meeste e-mail providers doen dit automatisch voor je:

  • Google Workspace: Instellingen → Apps → Gmail → E-mail authenticeren
  • Microsoft 365: Admin center → Setup → Domains → DKIM settings
  • Eigen mailserver: Gebruik tools zoals OpenDKIM of mail-tester.com

Sleutellengte

Gebruik minimaal 1024-bit sleutels, liefst 2048-bit voor betere beveiliging. Veel providers gebruiken standaard 2048-bit.

Stap 2: Voeg DKIM record toe aan DNS

Je provider geeft je een DKIM record dat je moet toevoegen. Dit ziet er ongeveer zo uit:

selector._domainkey.jouwdomein.nl  IN  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."

Onderdelen uitgelegd:

  • selector - Een unieke naam (bijv. "google", "default", "s1")
  • _domainkey - Standaard suffix voor DKIM
  • v=DKIM1 - DKIM versie
  • k=rsa - Type sleutel (RSA)
  • p=... - Je publieke sleutel (zeer lang)

Stap 3: Configureer je DNS

Log in bij je DNS provider en voeg een nieuw TXT record toe:

  • Naam/Host: selector._domainkey (bijv. default._domainkey)
  • Type: TXT
  • Waarde: De DKIM string van je provider
  • TTL: 3600

Stap 4: Activeer DKIM bij je provider

Ga terug naar je e-mail provider en activeer DKIM signing. Dit verschilt per provider:

  • Google Workspace: Klik op "Start authenticatie"
  • Microsoft 365: Toggle "Sign messages for this domain"
  • cPanel/WHM: Enable DKIM in Email Delivery settings

Stap 5: Test je DKIM configuratie

Gebruik onze gratis domein scanner of verstuur een test e-mail naar jezelf en check de headers.

DKIM Record Anatomie

Een volledig DKIM record kan meer tags bevatten:

v=DKIM1; k=rsa; t=s; s=email; p=MIGfMA0GCSqGSI...
Tag Betekenis
v Versie (altijd DKIM1)
k Key type (meestal rsa)
p Publieke sleutel (base64 encoded)
s Service type (email)
t Flags (y=testing, s=strict)

Veelgemaakte Fouten

  • Verkeerde selector naam
    De selector in DNS moet exact overeenkomen met wat je mailserver gebruikt
  • DKIM record te lang
    Sommige DNS providers kunnen problemen hebben met lange TXT records. Split het record in meerdere strings.
  • Spaties in het record
    Extra spaties kunnen het record breken. Kopieer exact zoals de provider het aanlevert.
  • Multiple DKIM records
    Je kunt meerdere DKIM records hebben (verschillende selectors), maar elk moet uniek zijn.
  • Sleutel niet geroteerd
    Roteer je DKIM sleutels jaarlijks voor optimale beveiliging.

DKIM, SPF en DMARC Samen

DKIM is één van de drie pijlers van moderne e-mail authenticatie:

Voor optimale beveiliging heb je alle drie nodig!

Veelgestelde Vragen

Kan ik e-mail versturen zonder DKIM?

Ja, maar je e-mails hebben een grotere kans om in spam te belanden. Veel grote e-mail providers (Gmail, Outlook) geven sterke voorkeur aan e-mail met DKIM.

Hoe vaak moet ik mijn DKIM sleutels wijzigen?

Beste practice is jaarlijks, of eerder als:

  • Je vermoedt dat de private sleutel is gelekt
  • Een medewerker met toegang het bedrijf verlaat
  • Je provider dit aanraadt na een security incident

Wat betekent DKIM=pass in mijn e-mail headers?

Dit betekent dat de DKIM verificatie succesvol was. De e-mail is authentiek en niet aangepast.

Kan ik meerdere DKIM records hebben?

Ja! Je kunt verschillende selectors gebruiken voor:

  • Verschillende mailservers
  • Third-party diensten (nieuwsbrieven, CRM)
  • Sleutelrotatie (oude en nieuwe sleutel parallel)

Samenvatting

DKIM is essentieel voor moderne e-mail beveiliging:

  • Voegt digitale handtekening toe aan elke e-mail
  • Bewijst authenticiteit en integriteit
  • Verbetert e-mail deliverability
  • Vereist voor volledige DMARC beveiliging
  • Relatief eenvoudig in te stellen via je provider

Gerelateerde handleidingen

SPF Records

Autoriseer servers om e-mail te versturen namens jouw domein.

DMARC Uitleg

Combineer SPF en DKIM voor complete e-mail bescherming.

MX Records

Leer hoe e-mail routing werkt en stel je mailservers in.

Alle Handleidingen

Bekijk al onze handleidingen over DNS en e-mail beveiliging.

Test je DKIM configuratie

Controleer of DKIM correct werkt en ontvang tips voor verbetering.

Scan je domein gratis