EMAIL Handleiding

DKIM Lookup: Digitale Handtekeningen voor E-mail Uitgelegd

Hoe DKIM de integriteit van je e-mails beschermt met asymmetrische cryptografie, hoe je het record verifieert en hoe je de meest voorkomende problemen oplost.

DKIM: de digitale vingerafdruk van je e-mails

DomainKeys Identified Mail (DKIM) is een e-mailauthenticatieprotocol dat gebruikmaakt van publieke-sleutelcryptografie om te garanderen dat een e-mail niet is gewijzigd tijdens het transport. In tegenstelling tot SPF, dat alleen het IP-adres van de verzendende server verifieert, ondertekent DKIM de e-mailinhoud cryptografisch, waardoor de ontvanger de integriteit en authenticiteit kan verifiëren. Elke e-mail die met DKIM is ondertekend, bevat een DKIM-Signature-header met de digitale handtekening berekend over de berichttekst en geselecteerde headers.

Het mechanisme werkt met twee sleutels: een privésleutel (bewaard door de verzendende mailserver) en een publieke sleutel (gepubliceerd in de DNS van het domein). Wanneer de server een e-mail verstuurt, berekent deze een hash van de inhoud en versleutelt deze met de privésleutel. De ontvangende server haalt de publieke sleutel op uit DNS, ontsleutelt de handtekening en vergelijkt de hash met de lokaal berekende hash. Als ze overeenkomen, is het bericht authentiek en intact.

Hoe de DKIM-selector werkt

Elk DKIM-record wordt geïdentificeerd door een selector, een prefix waarmee je meerdere DKIM-sleutels voor hetzelfde domein kunt hebben. Het record bevindt zich op selector._domainkey.domein.com. Als Google Workspace bijvoorbeeld de selector "google" gebruikt, is de publieke sleutel te vinden op google._domainkey.voorbeeld.com. Dit systeem maakt het mogelijk om verschillende sleutels te gebruiken voor verschillende diensten: één voor de bedrijfsserver, één voor het marketingplatform, één voor het ticketingsysteem.

DKIM-record in DNS
# Record DKIM per Google Workspace (selector: google)
google._domainkey.esempio.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki...chiave_pubblica_base64..."

# Header DKIM-Signature in un'email
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=esempio.com; s=google;
  h=from:to:subject:date:message-id;
  bh=hash_del_body;
  b=firma_digitale_base64

In de DKIM-Signature-header zijn de belangrijkste parameters: d= (ondertekend domein), s= (selector), h= (headers opgenomen in de handtekening), bh= (body hash), b= (de eigenlijke handtekening). De parameter a= specificeert het algoritme (rsa-sha256 is de huidige standaard). De parameter c= specificeert canonicalisatie: relaxed is toleranter voor kleine wijzigingen in witruimte, strict vereist exacte overeenkomst.

DKIM-diagnostiek en probleemoplossing

Het meest voorkomende DKIM-probleem is een handtekening die de verificatie niet doorstaat. De voornaamste oorzaken zijn: ontbrekende of onjuiste publieke sleutel in DNS (verifieer dit met onze DKIM Lookup), wijzigingen aan het bericht tijdens het transport (mailinglijsten die het onderwerp of de tekst aanpassen), privésleutel die niet overeenkomt met de publieke sleutel, en DNS-records met opmaakfouten. Mailinglijsten zijn bijzonder problematisch omdat ze vaak voetteksten toevoegen of de Subject-header wijzigen, waardoor de originele DKIM-handtekening ongeldig wordt.

Om DKIM-problemen te diagnosticeren, analyseer je de ontvangen e-mailheaders met de Email Header Analyzer. Zoek naar het veld Authentication-Results dat het DKIM-verificatieresultaat toont: dkim=pass betekent dat de handtekening geldig is, dkim=fail duidt op een probleem. De DKIM-Signature-header in de e-mail bevat de selector (s=) en het domein (d=) die nodig zijn voor handmatige verificatie.

Sleutelgrootte en rotatie

De DKIM-sleutelgrootte is een cruciaal beveiligingsaspect. 1024-bits sleutels, ooit de standaard, worden nu als kwetsbaar beschouwd voor factorisatieaanvallen met moderne hardware. De huidige aanbeveling is om 2048-bits sleutels te gebruiken, die een adequaat beveiligingsniveau bieden voor de komende jaren. Sommige providers ondersteunen 4096-bits sleutels, maar deze kunnen problemen veroorzaken met de limiet voor de grootte van DNS TXT-records (255 tekens per string).

Periodieke DKIM-sleutelrotatie is een vaak over het hoofd geziene best practice. Het omvat het genereren van een nieuw sleutelpaar, het publiceren van de nieuwe publieke sleutel met een nieuwe selector, het configureren van de server om met de nieuwe privésleutel te ondertekenen, en na een overgangsperiode het verwijderen van de oude publieke sleutel uit DNS. Rotatie elke 6-12 maanden wordt aanbevolen om de blootstelling te beperken bij een compromittering van de privésleutel.

DKIM in de context van e-mailauthenticatie

DKIM is de tweede pijler van e-mailauthenticatie, tussen SPF en DMARC. Terwijl SPF verifieert wie verzendt (het IP-adres van de server), verifieert DKIM wat er wordt verzonden (de integriteit van het bericht). DMARC combineert vervolgens de resultaten van beide door domeinafstemming te verifiëren: het domein in de From-header moet overeenkomen met het domein dat is geauthenticeerd door SPF (envelope from) of DKIM (ondertekend domein). Zonder DKIM vertrouwt DMARC uitsluitend op SPF, wat de bescherming aanzienlijk vermindert.

Voor een volledige verificatie van je DKIM-configuratie gebruik je onze DKIM Lookup door het domein en de selector op te geven. De tool toont de publieke sleutel, bitgrootte, algoritme en signaleert eventuele problemen. Combineer het resultaat met controles via SPF Lookup en DMARC Lookup voor een compleet beeld van je e-mailauthenticatie.

Probeer DKIM Lookup gratis
Controleer het DKIM-record voor de digitale handtekening van e-mails
Gebruik DKIM Lookup >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →