DKIM, oftewel DomainKeys Identified Mail, is voor alle domeinnamen op ons webhostingplatform ingesteld. Deze techniek ondertekent e-mails met een sleutel, zodat de ontvanger kan controleren of het bericht onderweg niet is aangepast. Het mooie, bij ons heb je er geen omkijken naar! Zo profiteer je van veiligere e-mail. Hoe werkt DKIM precies?
Bij e-mailverkeer beveiligen komt veel kijken. Dat begint al bij het afleveren van de berichten bij en tussen servers. Dankzij de toevoeging van STARTTLS in SMTP worden berichten over het internet versleuteld verzonden. Alleen, je kunt dan nog steeds namens een domein e-mail spoofen. Het Sender Policy Framework (SPF) lost dit op. Er is dan echter nog steeds geen verificatie om te checken of e-mails onderweg zijn aangepast. Dit brengt ons bij DKIM.
E-mails ondertekenen
Bij DKIM ondertekent de verzendende server een e-mail met een sleutel. Het gaat dan om de body en een aantal belangrijke headers, zoals From, To, het onderwerp en de datum. Deze “handtekening” wordt als een extra header toegevoegd, zodat ontvangende mailservers dit kunnen verifiëren.
Het publieke deel van de sleutel wordt in DNS-zone van het verzendende domein gepubliceerd. Zo kan de ontvangende partij met deze publieke sleutel en de ondertekening in het bericht verifiëren of het bericht is aangekomen, zoals hij is verzonden.
Deze sleutels zijn te vinden als TXT-records of CNAME-records in de vorm selector._domainkey
. Een domein kan dus meerdere keys bevatten. Dit is handig als er meerdere verzenders zijn, zoals Mailchimp, naast de gewone e-mail bij het hostingpakket.
DKIM bij Antagonist
Op ons webhostingplatform zijn bij alle domeinnamen selectors toegevoegd die met whs beginnen. Deze records wijzen naar de sleutels die worden gebruikt om alle uitgaande e-mails te ondertekenen. Gebruik je alleen onze mailserver, dan hoef je dus zelf niets te doen! Wij zorgen ervoor dat je e-mails met DKIM zijn ondertekend.
Professionele e-mail met je eigen domein
Wil je professionele e-mailadressen, gebaseerd op je eigen domein? Zo geregeld! Bekijk gerust eens onze e-mailpakketten. Naar technieken als DNSSEC, DKIM of SPF hoef je niet om te kijken 🙂
Andere mailprovider?
Gebruik je naast ons nog of helemaal een andere mailprovider, dan is het verstandig om hiervoor ook de DKIM-keys toe te voegen. Hieronder vind je instructies voor een aantal veelgebruikte providers. Om te testen of je valide DKIM-ondertekeningen stuurt, kun je van DKIMValidator.com gebruikmaken.
Belang van domeinnaambeveiliging
Een aantal jaar geleden begonnen we al met het beveiligen van domeinnamen door middel van DNSSEC. De zekerheid van DNSSEC is één van de bouwstenen voor verdere beveiliging, zoals SPF en DKIM. Voor ontvangers die dit valideren, is het dan zeker dat het SPF-record onderweg niet is aangepast en dat er niet met een vervalste DKIM-sleutel geantwoord wordt. Andere mechanismen als CAA-records en DMARC worden hier ook effectiever en veiliger door.
Al deze beveiligingstechnieken zijn manieren om je tegen spoofing te wapenen. Je weert je daarmee beter tegen bijvoorbeeld het sturen van valse facturen door criminelen, of de toenemende ceo-fraude. Het Forum Standaardisatie van de Nederlandse overheid onderschrijft het belang van veilige e-mail. DKIM is dan ook opgenomen in de pas-toe-of-leg-uit-lijst. Tevens telt het bij de test van Internet.nl mee voor de score.
DKIM én DMARC
DKIM wordt vaak in één adem met DMARC genoemd. Daarmee krijg je inzicht in e-mailstromen en bepaal je wat ontvangende partijen met falende DKIM- en SPF-checks moeten doen. Gebruik onze handige tool DMARCify om snel de juiste policy te maken!
P.S. Blijf op de hoogte en volg ons via Facebook, X, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!
Worden e-mails vanuit een contactformulier op een WordPress site bij Antagonist ook automatisch voorzien van juiste DKIM-keys?
In de betreffende WordPress site is niets specifiek ingeregeld voor e-mail, de mails gaan dus de deur uit middels de standaard PHPMailer in WordPress – in een ontvangen e-mail zie ik in de header (o.a.) de volgende info:
Received: from mailfilter06-out20.webhostingserver.nl
Authentication-Results: spf=pass (sender IP is 195.211.73.225)
smtp.mailfrom=enose.nl; auxzenze.nl; dkim=none (message not signed)
X-Mailer: PHPMailer 5.2.27
(gezien de kreet “message not signed” bekruipt me het gevoel dat er geen DKIM-key aan de mail wordt toegevoegd)
Beste Jan-Willem,
In feite zouden vanuit een contactformulier verzonden e-mails ook met DKIM moeten worden ondertekend.
We willen het graag voor je onderzoeken, maar er ontbreekt nu informatie. Je kunt daarom het beste een e-mail naar Support sturen met daarin de volledige headers. Alvast bedankt!
Met vriendelijke groet,
Het Antagonist-team