Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

DKIM

Verdediging

Domain Keys Identified Mail. DKIM is een techniek waarmee e-mailberichten kunnen worden gewaarmerkt. Het gebruik van DKIM verkleint de kans op misbruik van e-mailadressen doordat ontvangers betrouwbaar echte e-mails van phishingmails of spam kunnen onderscheiden. Ook kunnen ontvangers controleren of de inhoud van de e-mail door derden is gemanipuleerd.

DKIM staat voor DomainKeys Identified Mail en is een e-mailauthenticatieprotocol dat een digitale handtekening toevoegt aan uitgaande e-mails. Met DKIM kan de ontvangende mailserver verifieren dat een e-mail daadwerkelijk afkomstig is van het domein dat als afzender wordt vermeld, en dat de inhoud van het bericht onderweg niet is gewijzigd. DKIM werkt samen met twee andere e-mailbeveiligingsprotocollen, SPF (Sender Policy Framework) en DMARC (Domain-based Message Authentication, Reporting and Conformance), om een robuuste verdedigingslinie tegen e-mailfraude, phishing en spoofing te vormen.

E-mail is van oorsprong ontworpen zonder ingebouwde authenticatiemechanismen, waardoor het relatief eenvoudig is om het afzenderadres van een e-mail te vervalsen. Aanvallers maken hier misbruik van bij phishingaanvallen en CEO-fraude, waarbij ze zich voordoen als een vertrouwde afzender om ontvangers te misleiden. DKIM lost dit probleem gedeeltelijk op door cryptografisch te bewijzen dat een e-mail daadwerkelijk door de eigenaar van het afzenderdomein is verzonden. Voor organisaties die hun e-mailcommunicatie willen beschermen tegen misbruik door derden, is het implementeren van DKIM een essientiele stap in hun beveiligingsstrategie.

Hoe werkt DKIM?

DKIM maakt gebruik van asymmetrische cryptografie, ook wel publieke-sleutelcryptografie genoemd. Het proces werkt als volgt: wanneer een organisatie DKIM instelt, genereert de mailserver een sleutelpaar bestaande uit een private sleutel en een publieke sleutel. De private sleutel wordt veilig opgeslagen op de mailserver van de verzendende organisatie, terwijl de publieke sleutel wordt gepubliceerd als een DNS-record van het domein.

Bij het verzenden van een e-mail berekent de mailserver een hash van specifieke onderdelen van het bericht, waaronder de berichtenkop en het bericht zelf. Deze hash wordt vervolgens versleuteld met de private sleutel, waardoor een digitale handtekening ontstaat. Deze handtekening wordt als een speciaal header-veld (DKIM-Signature) aan de e-mail toegevoegd voordat het bericht wordt verzonden.

Wanneer de ontvangende mailserver de e-mail ontvangt, haalt deze de publieke sleutel op uit het DNS-record van het afzenderdomein. Met deze publieke sleutel ontsleutelt de server de digitale handtekening en vergelijkt het resultaat met een zelf berekende hash van het ontvangen bericht. Als beide hashes overeenkomen, is bewezen dat het bericht daadwerkelijk door de eigenaar van het domein is verzonden en dat de inhoud onderweg niet is gemanipuleerd. Als de hashes niet overeenkomen, is het bericht mogelijk vervalst of onderweg gewijzigd.

DKIM werkt in combinatie met SPF en DMARC voor optimale bescherming. SPF specificeert welke mailservers namens een domein mogen verzenden, DKIM bewijst de authenticiteit van individuele berichten via een digitale handtekening, en DMARC definieert het beleid dat de ontvangende server moet toepassen wanneer SPF of DKIM faalt. Samen vormen deze drie protocollen de basis van moderne e-mailauthenticatie.

Hoe implementeer je DKIM?

Het implementeren van DKIM begint met het genereren van een DKIM-sleutelpaar op je mailserver of e-maildienst. De meeste moderne e-mailplatformen, waaronder Microsoft 365, Google Workspace en populaire hostingproviders, bieden ingebouwde ondersteuning voor DKIM en vereenvoudigen het configuratieproces aanzienlijk. Bij Microsoft 365 kun je DKIM inschakelen via het Microsoft Defender-portaal, terwijl Google Workspace een vergelijkbaar proces biedt via de Admin Console.

Na het genereren van de sleutels moet je de publieke sleutel toevoegen als een CNAME- of TXT-record in de DNS-configuratie van je domein. Het DNS-record volgt een specifiek formaat, waarbij de selector (een naam die de sleutel identificeert) wordt gecombineerd met het domein. Een typisch DKIM DNS-record ziet er als volgt uit: selector._domainkey.jouwdomein.nl, met als waarde het type record, de versie en de publieke sleutel.

Na de configuratie is het belangrijk om te testen of DKIM correct werkt. Je kunt een test-e-mail versturen naar een externe mailbox en de berichtkoppen controleren op de aanwezigheid van een geldige DKIM-Signature. Online tools zoals MXToolbox en DKIM Validator kunnen helpen bij het verifieren van je configuratie. Controleer ook of de DNS-propagatie volledig is voltooid, wat tot 48 uur kan duren bij sommige DNS-providers.

Het is verstandig om na het instellen van DKIM ook DMARC te configureren. Zonder DMARC heeft de ontvangende server geen instructies over wat er moet gebeuren als DKIM-verificatie faalt. Begin met een DMARC-beleid op "none" om rapporten te verzamelen zonder e-mails te blokkeren, en verscherp het beleid geleidelijk naar "quarantine" en uiteindelijk "reject" naarmate je meer vertrouwen krijgt in je e-mailauthenticatie-configuratie.

Best practices voor DKIM

Gebruik een sleutellengte van minimaal 2048 bits voor je DKIM-sleutelpaar. Hoewel 1024-bits sleutels technisch nog steeds worden ondersteund, bieden 2048-bits sleutels aanzienlijk meer bescherming tegen toekomstige cryptografische aanvallen. De meeste moderne mailplatformen genereren standaard 2048-bits sleutels, maar controleer dit bij je configuratie.

Roteer je DKIM-sleutels regelmatig, idealiter elke zes tot twaalf maanden. Sleutelrotatie beperkt de schade als een private sleutel ooit gecompromitteerd raakt. Gebruik meerdere selectors zodat je een nieuwe sleutel kunt activeren voordat je de oude deactiveert, wat zorgt voor een naadloze overgang zonder onderbreking van de e-mailbezorging.

Zorg ervoor dat alle bronnen die namens je domein e-mail versturen zijn opgenomen in je DKIM-configuratie. Dit omvat niet alleen je primaire mailserver, maar ook marketing-e-maildiensten, ticketsystemen, facturatieSoftware en andere applicaties die e-mail versturen namens jouw organisatie. Elk van deze bronnen moet een eigen DKIM-selector hebben die correct is geconfigureerd.

Monitor je DMARC-rapporten actief om te controleren of DKIM correct werkt voor al je e-mailstromen. DMARC-rapporten bevatten gedetailleerde informatie over welke berichten slagen en falen voor DKIM- en SPF-verificatie, en helpen je om misconfiguraties of ongeautoriseerde verzenders te identificeren. Gebruik een DMARC-rapportageservice om deze XML-rapporten automatisch te verwerken en inzichtelijk te maken.

Implementeer naast DKIM ook TLS-encryptie voor e-mailtransport (STARTTLS of MTA-STS). Terwijl DKIM de authenticiteit en integriteit van berichten waarborgt, beschermt TLS de vertrouwelijkheid van e-mail tijdens transport tussen mailservers. Samen bieden deze technologieen een complete bescherming voor jouw e-mailcommunicatie.

Veelgestelde vragen over DKIM

Wat is het verschil tussen SPF, DKIM en DMARC?

SPF specificeert welke mailservers namens jouw domein mogen mailen. DKIM voegt een digitale handtekening toe die de authenticiteit en integriteit van elk individueel bericht bewijst. DMARC combineert beiden en definieert wat er moet gebeuren als verificatie faalt, plus het biedt rapportagemogelijkheden. Alle drie zijn nodig voor optimale e-mailbeveiliging.

Is DKIM verplicht?

DKIM is niet wettelijk verplicht, maar wordt door grote e-mailproviders zoals Google en Microsoft steeds strenger gehandhaafd. Sinds 2024 vereisen Google en Yahoo dat bulkverzenders DKIM hebben geconfigureerd om e-mail te kunnen afleveren. Zonder DKIM is de kans groot dat jouw e-mails in de spamfolder belanden of worden geweigerd.

Beschermt DKIM tegen alle vormen van e-mailfraude?

DKIM beschermt tegen het vervalsen van jouw domein als afzender en tegen het wijzigen van berichtinhoud. Het beschermt niet tegen phishing waarbij aanvallers een lookalike-domein gebruiken, of tegen compromittering van een legitiem e-mailaccount. DKIM is daarom een belangrijke maar niet de enige maatregel in een complete anti-phishingstrategie.

Wat gebeurt er als DKIM-verificatie faalt?

Het hangt af van het DMARC-beleid van het afzenderdomein. Bij "none" wordt het bericht normaal bezorgd maar wordt het resultaat gerapporteerd. Bij "quarantine" wordt het bericht naar de spamfolder verplaatst. Bij "reject" wordt het bericht volledig geweigerd. Zonder DMARC bepaalt de ontvangende server zelf wat er met het bericht gebeurt.

Wil je de e-mailbeveiliging van jouw organisatie verbeteren? Bekijk de mogelijkheden op de oplossingen-pagina en vind de juiste beveiligingspartner via IBgidsNL.