Veiligere e-mail met DKIM!

DKIM, oftewel DomainKeys Identified Mail, is voor alle domeinnamen op ons webhostingplatform ingesteld. Deze techniek ondertekent e-mails met een sleutel, zodat de ontvanger kan controleren of het bericht onderweg niet is aangepast. Het mooie, bij ons heb je er geen omkijken naar! Zo profiteer je van veiligere e-mail. Hoe werkt DKIM precies?

Bij e-mailverkeer beveiligen komt veel kijken. Dat begint al bij het afleveren van de berichten bij en tussen servers. Dankzij de toevoeging van STARTTLS in SMTP worden berichten over het internet versleuteld verzonden. Alleen, je kunt dan nog steeds namens een domein e-mail spoofen. Het Sender Policy Framework (SPF) lost dit op. Er is dan echter nog steeds geen verificatie om te checken of e-mails onderweg zijn aangepast. Dit brengt ons bij DKIM.

E-mails ondertekenen

Bij DKIM ondertekent de verzendende server een e-mail met een sleutel. Het gaat dan om de body en een aantal belangrijke headers, zoals From, To, het onderwerp en de datum. Deze “handtekening” wordt als een extra header toegevoegd, zodat ontvangende mailservers dit kunnen verifiëren.

Het publieke deel van de sleutel wordt in DNS-zone van het verzendende domein gepubliceerd. Zo kan de ontvangende partij met deze publieke sleutel en de ondertekening in het bericht verifiëren of het bericht is aangekomen, zoals hij is verzonden.

Deze sleutels zijn te vinden als TXT-records of CNAME-records in de vorm selector._domainkey. Een domein kan dus meerdere keys bevatten. Dit is handig als er meerdere verzenders zijn, zoals Mailchimp, naast de gewone e-mail bij het hostingpakket.

DKIM bij Antagonist

Op ons webhostingplatform zijn bij alle domeinnamen selectors toegevoegd die met whs beginnen. Deze records wijzen naar de sleutels die worden gebruikt om alle uitgaande e-mails te ondertekenen. Gebruik je alleen onze mailserver, dan hoef je dus zelf niets te doen! Wij zorgen ervoor dat je e-mails met DKIM zijn ondertekend.

Andere mailprovider?

Gebruik je naast ons nog of helemaal een andere mailprovider, dan is het verstandig om hiervoor ook de DKIM-keys toe te voegen. Hieronder vind je instructies voor een aantal veelgebruikte providers. Om te testen of je valide DKIM-ondertekeningen stuurt, kun je van DKIMValidator.com gebruikmaken.

• SendGrid
• MailChimp
• Amazon SES
• Google Workspace
• Microsoft 365

Belang van domeinnaambeveiliging

Een aantal jaar geleden begonnen we al met het beveiligen van domeinnamen door middel van DNSSEC. De zekerheid van DNSSEC is één van de bouwstenen voor verdere beveiliging, zoals SPF en DKIM. Voor ontvangers die dit valideren, is het dan zeker dat het SPF-record onderweg niet is aangepast en dat er niet met een vervalste DKIM-sleutel geantwoord wordt. Andere mechanismen als CAA-records en DMARC worden hier ook effectiever en veiliger door.

Al deze beveiligingstechnieken zijn manieren om je tegen spoofing te wapenen. Je weert je daarmee beter tegen bijvoorbeeld het sturen van valse facturen door criminelen, of de toenemende ceo-fraude. Het Forum Standaardisatie van de Nederlandse overheid onderschrijft het belang van veilige e-mail. DKIM is dan ook opgenomen in de pas-toe-of-leg-uit-lijst. Tevens telt het bij de test van Internet.nl mee voor de score.

DKIM én DMARC
DKIM wordt vaak in één adem met DMARC genoemd. Daarmee krijg je inzicht in e-mailstromen en bepaal je wat ontvangende partijen met falende DKIM- en SPF-checks moeten doen. Gebruik onze handige tool DMARCify om snel de juiste policy te maken!

P.S. Blijf op de hoogte en volg ons via Facebook, X, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!