← Kennisbank

Wat is DKIM?

Wat is DKIM?

DKIM (DomainKeys Identified Mail) is een digitale handtekening op je e-mail. Het bewijst dat de mail écht van jouw domein komt én onderweg niet is aangepast.

In het kort

Waar SPF kijkt naar welke server de mail verstuurt, kijkt DKIM naar de inhoud van de mail. Je mailserver ondertekent elke uitgaande e-mail met een privésleutel. De ontvangende server haalt jouw publieke sleutel op uit DNS en controleert de handtekening.

Klopt de handtekening? Dan weet de ontvanger zeker: deze mail komt van jouw domein én is onderweg niet veranderd.

Hoe werkt DKIM in 4 stappen?

  1. Je mailserver heeft een privésleutel en publiceert de bijbehorende publieke sleutel in DNS.
  2. Bij elke verzonden e-mail berekent de server een hash van de inhoud (en kop) en versleutelt die met de privésleutel — dat is de handtekening.
  3. De handtekening wordt als DKIM-Signature: header aan de mail toegevoegd.
  4. De ontvangende server haalt de publieke sleutel op uit DNS en controleert of de handtekening klopt.

Hoe ziet een DKIM-record eruit?

DKIM gebruikt selectors zodat één domein meerdere sleutels kan hebben (bijvoorbeeld één per leverancier). Een selector s1 voor jouwbedrijf.nl leeft op: 

s1._domainkey.jouwbedrijf.nl.  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
Wat staat er?
  • v=DKIM1 — versie.
  • k=rsa — type sleutel (vrijwel altijd RSA, soms ed25519).
  • p=... — de publieke sleutel zelf (base64).
In de e-mail-header zie je dan iets als:
DKIM-Signature: v=1; a=rsa-sha256; d=jouwbedrijf.nl; s=s1;
  c=relaxed/relaxed; q=dns/txt; t=1684500000;
  h=from:to:subject:date; bh=...; b=...

Veelgemaakte fouten

  • Selector vergeten. Je moet weten welke selector je leverancier gebruikt (vaak selector1, google, k1, etc.) anders kan de publieke sleutel niet gevonden worden.
  • Sleutel afgekapt. DKIM-keys zijn lang. Sommige DNS-providers knippen het record in stukken bij 255 tekens — dat is op zich oké, maar het record moet wel als één string gepubliceerd worden.
  • Sleutel te klein. 1024-bits keys worden niet meer veilig geacht; gebruik minimaal 2048-bits.
  • Geen DKIM bij externe verzenders. Tools zoals Mailchimp en HubSpot ondertekenen alleen als jij hun DKIM-record op je eigen domein publiceert. Vergeet dat niet bij het opzetten.

Waarom is DKIM belangrijk?

DKIM is een van de twee bouwstenen waar DMARC bovenop draait. Een werkende DKIM-handtekening:

  • Verbetert je deliverability — Gmail en Outlook geven ondertekende mail voorrang.
  • Maakt het detecteren en blokkeren van phishing mogelijk.
  • Is sinds februari 2024 verplicht voor bulkverzenders (>5000/dag) naar Gmail en Yahoo.
Controleer je DKIM-records

Een Postwachter scan zoekt automatisch de meest gebruikte selectors en controleert sleutellengte, syntax en alignment met DMARC.

Scan mijn domein
Lees ook