1. Home
  2. Knowledge Base
  3. DKIM

DKIM

DKIM (DomainKeys Identified Mail) uitgelegd: definitie en betekenis

DKIM, wat staat voor DomainKeys Identified Mail, is een digitale oplossing waarmee organisaties de betrouwbaarheid van hun communicatie met hun medewerkers, klanten of partners kunnen garanderen. Dit wordt bereikt door een digitale handtekening aan de berichtkop toe te voegen om te bevestigen dat het bericht door een legitieme bron is verzonden en onderweg niet is gewijzigd. De handtekening wordt vervolgens gevalideerd in DNS (Domain Name System) door de ontvangende mailserver. De afzender moet een record bijhouden met de openbare sleutel in DNS, waardoor de ontvangende mailserver de legitimiteit van het bericht kan bevestigen met behulp van de sleutel en het naadloos kan afleveren in de inbox van de ontvanger. Op deze manier wordt het proces van e-mailtransmissie betrouwbaar en veilig. Zo wordt DKIM een solide bescherming tegen e-mailspoofing, phishing en spam.

DKIM-handtekening: wat het betekent en hoe het eruit ziet

Een DKIM-handtekening is een cryptografische tekenreeks die aan de kop van een e-mailbericht is toegevoegd. Het wordt gegenereerd met behulp van de privésleutel van de afzender en wordt geverifieerd door de ontvangende mailserver met behulp van de openbare sleutel van de afzender die is opgeslagen in het DNS-record.

Het doel ervan is om de integriteit van het bericht te garanderen en om te verifiëren dat er tijdens de verzending niet mee is geknoeid. De server van de ontvanger controleert de handtekening met de informatie over de domeinnaam en andere gegevens en vergelijkt deze met de publieke sleutel. Bij match blijkt deze geldig te zijn, wat betekent dat de e-mail niet is gewijzigd en inderdaad door het geclaimde domein is verzonden.

Hoe wordt een DKIM-handtekening gegenereerd?

Het proces voor het genereren van een cryptografische handtekening omvat verschillende stappen:

  1. Ten eerste creëert de e-mailservice van de afzender een cryptografische hash van e-mailinhoud, inclusief de berichttekst, kopteksten en bijlagen.
  2. Vervolgens codeert de service de hash met behulp van de privésleutel van de afzender om een DKIM-handtekening te creëren.
  3. Ten slotte wordt het als een specifiek veld aan de e-mailkop toegevoegd, samen met andere DKIM-gerelateerde informatie.

Hoe ziet een DKIM-handtekening eruit?

Een digitale handtekening is een lange reeks tekens die doorgaans wordt weergegeven als een reeks alfanumerieke tekens en speciale symbolen. Het wordt weergegeven als een apart veld in de e-mailkop en staat tussen punthaken (< >) om het te onderscheiden van andere koptekstvelden. Het bevat verschillende parameters en waarden.

Hier is een voorbeeldmodelstructuur van de handtekening:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;

In dit voorbeeld:

DKIM signature example.
TagTag descriptionPossible values
v version of DKIM being used version 1
a algorithm being used to create hash rsa-sha256
c canonicalization method used
for the message body and headers 		simple (doesn't allow any changes in the email header or body)
or relaxed (allows for minor changes in adjusting whitespaces,
header lines, header fields etc.)
In our example, it's relaxed/relaxed
dassociated domainexample.com
s selector, which is a unique identifier
for the specific DKIM key record
(associated with the domain) 		selector1
h lists the headers included in the
signature calculation 		In our example, it includes From, To, Subject, Date,
MIME-Version, and Content-Type
bh represents the hash value of the email's
relevant components
(body, headers, etc.) 		abcdef1234567890 as an example
b contains the encrypted hash value, generated
using the sender's private key
(the signature itself) 		In our case, it is ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210

HOE HET WERKT

DKIM-record: Introductie, Componenten en Controle

Om DKIM toe te passen, moeten organisaties het record in DNS genereren en registreren. Het is een TXT-record dat alle belangrijke informatie bevat over de instellingen voor een bepaald domein, inclusief de publieke sleutel van de afzender. Door middel van een DNS record check kan de ontvangende mailserver eenvoudig de authenticiteit van de binnenkomende berichten valideren.

Hier is een voorbeeld van een DKIM-record en de uitsplitsing van de componenten: 

example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"
DKIM record example.
Tag valueInterpretation
v=DKIM1 specifies the version being used,
which is version 1
k=rsa indicates that the encryption algorithm
used for the signature is RSA
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC
BiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKT
B9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJq
DDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0c
HKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti
+jHDjbyXMbDVo9KkSNps/8crTouOmrTqg
Z+PbLwIDAQAB 		This is the public key associated with
the signature. It is the part used
by recipients to verify the signature
of the incoming emails.

DKIM-authenticatieproces

Wanneer een e-mail wordt verzonden terwijl DKIM is ingeschakeld, voegt de verzendende service een digitale handtekening toe aan de berichtkop. De handtekening bevat gecodeerde waarden van berichtonderdelen, zoals hoofdtekst, kopteksten en bijlagen. Om de DKIM-handtekening te verifiëren, kunnen ontvangers een reeks stappen uitvoeren:

  1. Haal het DKIM-record van de afzender op uit de DNS.
  2. Haal de openbare sleutel uit het record.
  3. Bereken de handtekening door de relevante e-mailcomponenten te hashen.
  4. Vergelijk de berekende handtekening met die in de e-mailkop.
  5. Als de handtekeningen overeenkomen, passeert de e-mail de DKIM-verificatie.
DKIM signature verification processLayer 1 mail service public key sender's signature verification with public key recipient's email server DNS server ------- VERIFIED authentication failed the message is rejected ------- recipient's email service mail service an email with DKIM signature in its header mail service sender's email service

Als resultaat van een succesvolle handtekeningverificatie kunnen ontvangers zeker zijn van de authenticiteit en integriteit van de e-mail, waardoor de kans op phishing-aanvallen en vervalsing van e-mail wordt verkleind.

Als de verificatie echter mislukt, kunnen de mogelijke scenario's voor een e-mail er als volgt uitzien:

  • het bericht kan worden gemarkeerd als spam wanneer de legitimiteit ervan niet kan worden bevestigd;
  • in quarantaine geplaatst of geblokkeerd: dit wordt vaak gedaan om gebruikers te beschermen tegen mogelijke phishing-pogingen of vervalste e-mails;
  • doorgestuurd naar ongewenste e-mail in plaats van naar de inbox van de ontvanger;
  • waarschuwing of vlag weergeven: dit waarschuwt de ontvanger om voorzichtig te zijn en suggereert dat de authenticiteit van het bericht twijfelachtig is.

De exacte gevolgen van het mislukken van de verificatie kunnen variëren, afhankelijk van het beleid dat is opgesteld door een e-mailserviceprovider en de individuele instellingen van de ontvanger. Het is belangrijk op te merken dat een mislukte DKIM-verificatie kan leiden tot een verminderde reputatie van de afzender, lagere afleverpercentages en een grotere kans dat het bericht als verdacht of mogelijk schadelijk wordt behandeld.

Combinatie van DKIM, SPF en DMARC om de e-mailbeveiliging te verbeteren

Het gebruik van DKIM vergroot aanzienlijk de kansen om potentiële kwaadaardige acties via e-mails te vermijden en draagt bij aan een soepele en succesvolle communicatie. Om de e-mailbeveiliging te verbeteren zijn er nog twee mechanismen toegepast die de online communicatie beschermen: SPF (Sender Policy Framework) en DMARC (Domain-based Message Authentication, Reporting & Conformance).

Om zijn reputatie te beschermen en de bezorgbaarheid van zijn e-mails te garanderen, kan een organisatie een SPF-record in DNS verstrekken met de lijst met geautoriseerde domeinnamen en IP-adressen. Door dit record te controleren, verifieert de server van de ontvanger de authenticiteit van de berichtbron. Een SPF-record biedt extra gegevensbescherming door de legitimiteit van de afzender te bevestigen.

DMARC is een beleid voor dergelijke authenticatiemechanismen zoals hierboven vermeld, dat de regels voor de identificatie van e-mails definieert en verdere acties op verdachte berichten bepaalt met mogelijke scenario's die hierboven zijn beschreven.

Over het geheel genomen speelt DKIM een cruciale rol bij het waarborgen van de betrouwbaarheid, integriteit en veiligheid van e-mailcommunicatie. Door DKIM naast SPF en DMARC te implementeren, kunnen organisaties de risico’s van kwaadwillige activiteiten aanzienlijk verminderen, waardoor de bescherming van hun e-mailecosysteem wordt verbeterd.

Frequently asked questions

Andere vragen met betrekking tot DKIM

Hoe kan ik een DKIM-sleutel genereren?

Een gemakkelijke manier om dit te doen is door gebruik te maken van verschillende tools en diensten die online beschikbaar zijn. Deze tools helpen bij het genereren van cryptografische sleutels: een privésleutel die is gemaakt voor het ondertekenen van uitgaande berichten en een openbare sleutel voor handtekeningverificatie door een ontvanger.

Hoe verbetert DKIM-authenticatie de e-mailbeveiliging?

De veiligheid van uw online communicatie wordt bereikt door ontvangers een middel te bieden om de authenticiteit van inkomende berichten te verifiëren. Het helpt vervalsing van e-mail, phishing-aanvallen en geknoei te voorkomen, waardoor het vertrouwen wordt vergroot en het risico op kwaadwillige activiteiten wordt verminderd.

Hoe kan ik de DKIM-handtekening van een e-mail verifiëren?

Om de digitale handtekening van een e-mail te verifiëren, moet u het DKIM-record van de afzender uit de DNS halen. Haal er de publieke sleutel uit en bereken de handtekening met behulp van de relevante berichtcomponenten. Vergelijk de berekende handtekening met die in de berichtkop. Als de handtekeningen overeenkomen, is de DKIM-handtekening geldig.

Zie ook:

Denk eens aan de mogelijkheid om de route te volgen die een bericht passeert op weg naar een ontvanger. Dit zal u helpen de complexe processen van e-mailverzending te begrijpen en u te beschermen tegen ongewenste e-mail of junkmail. Onze Email Headers Analyzer maakt deze manipulatie eenvoudig maar informatief. Het maakt het mogelijk om de lijst van servers die betrokken zijn bij het transmissieproces te traceren en weer te geven, met hun IP-adressen en domeinnamen, en om zoveel mogelijk aanvullende informatie te verzamelen.