Spring naar hoofdinhoud
SenderProof

Wat is DKIM?

DKIM (DomainKeys Identified Mail) zet een digitale handtekening onder elke uitgaande e-mail. De ontvanger controleert die met een publieke sleutel uit jouw DNS — zo is bewezen dat de mail écht van jou komt en onderweg niet is aangepast.

Hoe het werkt

  1. Je mailserver ondertekent elke uitgaande mail met een private key.
  2. De handtekening komt in de DKIM-Signature-header te staan, met een selector.
  3. De ontvanger haalt de bijbehorende public key op uit <selector>._domainkey.jouwdomein.nl en verifieert de handtekening.

De selector

De selector laat je meerdere sleutels naast elkaar draaien (bv. voor sleutelrotatie of meerdere verzenders). Je ziet 'm terug in het DNS-record: 

selector1._domainkey.jouwdomein.nl  TXT  "v=DKIM1; k=rsa; p=MIGf..."

Microsoft 365 gebruikt selector1 en selector2; Google Workspace meestal google. Senderproof detecteert je primaire vendor en wijst de juiste selectoren aan.

Sleutelrotatie

Een DKIM-sleutel die jarenlang ongewijzigd blijft, is een risico. Roteer periodiek: publiceer een nieuwe selector, schakel je mailserver om, en verwijder de oude pas als er geen mail meer mee ondertekend wordt. Senderproof kan de selectoren voor je hosten en de rotatie begeleiden.

Alignment

Voor DMARC telt niet alleen of DKIM slaagt, maar of het aligned is: het ondertekenende domein (d=) moet matchen met de zichtbare From:-afzender. Een geldige handtekening van een ander domein helpt je DMARC dus niet.