Hoe werkt DKIM


DKIM is een soort digitale vingerafdruk dat elk email bericht meekrijgt. De mailserver die verzendt heeft de 'private-key' en voegt aan elke mail een zogenaamde DKIM-header toe. De mailserver die de mail ontvangt controleert deze header met de 'public-key' in DNS (net als SPF en DMARC is dat een TXT-record). 

Als je naast je e-mail ook nieuwsbrieven (bijvoorbeeld Mailchimp of Laposta) verstuurt, dan dien je op deze nieuwsbrieven maildienst ook DKIM in te stellen. Hetzelfde geldt voor facturen met een eigen maildienst, etc. Zo'n digitale vingerafdruk verschilt per maildienst en elke maildienst vertelt wat je in je DNS moet opnemen om DKIM aan te zetten. Je kunt dus meerdere DKIM instellingen in je DNS hebben.

De ontvangende mailserver controleert deze digitale vingerafdruk op echtheid met de in DNS is opgenomen DKIM waarden. Als dit niet in orde is wordt DMARC geraadpleegd en uitgevoerd.

Deze artikelen van iSpam en Security.nl geven meer detail over dit onderwerp.


Kun je DKIM weglaten?

Technisch kan het, maar dat verzwakt de kracht van de driehoek. SPF en DMARC kun je zelf aanpassen in jouw DNS (zie hieronder), maar DKIM wordt ingesteld op de uitgaande mailserver. Als mail is uitbesteed aan een hostingprovider, dan dienen zij dit in orde te hebben

Wanneer dat niet zo is, is uitkijken naar een maildienst die dit wel biedt een goed idee. Waarom? SPF is een whitelist (allowlist), maar bij een uitbestede maildienst ben je niet de enige op deze mailsystemen.  Het wordt gedeeld met honderden, duizenden of meer klanten. Het verkleint het risico, maar het is eenvoudig te omzeilen. Het is voor een crimineel misschien lonend ook klant te worden.

Met DKIM wordt een digitale vingerafdruk aan elke mail meegestuurd waardoor direct het kaf van het koren wordt gescheiden.



DKIM controleren

DKIM is in GMail of Google Workspace te herkennen aan “Ondertekend door” (zie afbeelding), gevolgd door het domein van de afzender.

Het “Verzonden door”, gevolgd door het domein van de zender geeft tevens aan dat SPF aanwezig is.

DKIM bij andere maildiensten

Maildiensten als Mailchimp of het Nederlandse Laposta, ondersteunen DKIM zodat zichtbaar is dat een mail campagne met de goedkeuring vanuit het domein is verzonden. Op de afbeelding is de extra regel “ondertekend door: ” zichtbaar.


Doe de DKIM check

Op DKIMvalidator.com kun je een analyze laten maken van zo'n vingerafdruk. Stuur een mail naar het geleverde tijdelijke mail adres ontvang een DKIM rapport in je browser. Dat is ook bruikbaar met een bericht vanuit Laposta of een facturen systeem.