Defaults.Exposed › Oplossingen › DKIM

Hoe je DKIM oplost

DKIM is het onzichtbare, fraudebestendige zegel op elke e-mail die uw bedrijf verstuurt. Het laat de ontvangende mailprovider bevestigen dat de e-mail echt van u kwam en ongewijzigd is aangekomen. Zonder DKIM is uw post makkelijker te vervalsen, makkelijker aan te passen en veel waarschijnlijker om in de spam te belanden.

De kern voor je bedrijf: Zonder DKIM kunnen de e-mails die u verstuurt onderweg worden gemanipuleerd, zijn ze makkelijker na te bootsen voor criminelen en belanden ze vaker in de spam of worden ze ronduit geweigerd — wat u stilletjes deals, betalingen en vertrouwen kost zonder dat u ooit weet wat u verloor.

Wat dit je kan kosten

• Een factuur die u mailde wordt onderschept en de rekeninggegevens worden gewijzigd voordat die uw klant bereikt. De e-mail lijkt nog steeds van u te komen, de klant betaalt de crimineel, en als het uitkomt bent u degene die de schuld krijgt.
• Uw echte offertes, contracten en facturen blijven in de spammap van klanten belanden. U gaat ervan uit dat de klant stil werd of iemand anders koos — maar ze hebben uw e-mail simpelweg nooit gezien.
• De beveiligings- of inkoopafdeling van een grotere klant doet een snelle controle op uw domein voor het tekenen, ziet geen DKIM, en stelt de deal weken uit tot u het oplost of kiest stilletjes een concurrent die wel slaagde.
• Een crimineel stuurt overtuigende nep-e-mails «van uw bedrijf» naar uw eigen klanten. Omdat niets bewijst welke e-mails echt van u zijn, zijn de vervalsingen net zo geloofwaardig als het echte werk — en uw naam loopt de schade op.
• Grote mailboxproviders en banken behandelen ongetekende post steeds meer als verdacht. Na verloop van tijd wordt meer van uw dagelijkse zakelijke e-mail afgeknepen, weggegooid of teruggestuurd, en stopt uw uitgaande communicatie langzaam met werken.

Waarom het ertoe doet. E-mail is nooit gebouwd om te bewijzen wie het verstuurde, en de afzender vervalsen is kinderlijk eenvoudig. DKIM voegt een cryptografische handtekening toe die de ontvangende provider automatisch controleert — die bevestigt dat het bericht echt van uw domein komt en onderweg niet is gewijzigd. Het is een van de drie dingen waar elke moderne mailprovider naar kijkt, het bepaalt direct of uw e-mail wordt vertrouwd of weggegooid, en de oplossing is gratis.

Wat dit is, in gewone taal

Elke e-mail die uw bedrijf verstuurt, gaat door verschillende handen voordat die de inbox bereikt. Op zichzelf draagt een e-mail geen bewijs van wie die echt verstuurde of dat iemand die onderweg heeft gewijzigd — de «van»-regel is gewoon tekst die iedereen kan typen.

DKIM lost dat op. Het zet een onzichtbaar, fraudebestendig zegel op elk bericht dat uw bedrijf verstuurt. Wanneer de e-mail aankomt, controleert de ontvangende mailprovider het zegel tegen een sleutel die u op uw domein publiceert. Klopt het, dan weet de provider twee dingen zeker: de e-mail kwam echt van uw domein, en er is geen enkel teken onderweg gewijzigd. Klopt het niet — omdat het bericht is vervalst of aangepast — dan faalt het zegel, en behandelt de provider de mail met argwaan.

U beheert hier niets met de hand. Eenmaal aangezet gebeuren het ondertekenen en controleren automatisch op elke e-mail, voor altijd. Het hele punt van DKIM is uw echte mail aantoonbaar echt te maken — zodat die wordt vertrouwd, en zodat vervalsingen opvallen.

Wat dit u kan kosten

Dit is niet abstract. Zo ziet een ontbrekend of zwak DKIM-zegel er in de praktijk uit voor een klein of middelgroot bedrijf.

• De gewijzigde factuur. U mailt een klant een factuur. Ergens tussen uw server en de hunne onderschept een aanvaller die en verwisselt uw rekeninggegevens voor de zijne. De e-mail lijkt nog steeds van u te komen, de klant betaalt — naar de rekening van de crimineel. Zonder DKIM is er niets dat aangeeft dat met het bericht is geknoeid. Mét DKIM breekt die stille wijziging het zegel en wordt die gepakt.
• De deals die in de spam stierven. Uw offertes, voorstellen en follow-ups blijven in de spammap van klanten glippen. U hoort nooit iets terug en gaat ervan uit dat ze geen interesse hadden. In werkelijkheid is ongetekende mail een sterk spamsignaal — uw echte zakelijke e-mail werd simpelweg niet gezien.
• Het verloren contract. De inkoop- of beveiligingsafdeling van een grotere klant doorlicht uw domein voordat ze tekenen. Ze zien geen DKIM en behandelen het als een rode vlag — ze stellen de deal weken uit terwijl u het oplost, of kiezen stilletjes een leverancier wiens e-mailbeveiliging in orde was.
• Uw naam tegen uw eigen klanten gebruikt. Een oplichter stuurt overtuigende e-mails «van uw bedrijf» naar uw klantenbestand. Omdat niets bewijst welke berichten echt van u zijn, zien de vervalsingen er net zo legitiem uit als het echte werk — en het is uw reputatie die de klap krijgt wanneer mensen worden beetgenomen.
• Langzame wurging van uw e-mail. Banken, grote mailboxproviders en bedrijfsfilters wantrouwen ongetekende mail steeds meer. Het effect sluipt na verloop van tijd binnen: meer afknijpen, meer weggooien, meer bounces — tot uw dagelijkse communicatie stilletjes stopt met aankomen.

Wat het eigenlijk is

DKIM staat voor DomainKeys Identified Mail. Zo werkt het zegel, zonder jargon:

• U publiceert een publieke sleutel op uw domein (in uw DNS-instellingen). Iedereen kan die lezen — dat is de bedoeling.
• Uw mailprovider houdt de bijbehorende privésleutel en gebruikt die om elke e-mail die u verstuurt te ondertekenen, met een verborgen header.
• Wanneer de e-mail aankomt, haalt de provider van de ontvanger uw publieke sleutel op, controleert de handtekening tegen het bericht en bevestigt dat het echt en ongewijzigd is.

Een paar termen die u van uw IT-persoon kunt horen:

• Selector — een label dat naar één specifieke sleutel wijst, bijv. selector1._domainkey.uwdomein. Het laat u meerdere sleutels netjes draaien en rouleren. Uw provider stelt dit in.
• Sleutelsterkte — DKIM-sleutels komen in maten. De moderne basis is 2048-bit RSA; 4096-bit RSA- of Ed25519-sleutels zijn nog sterker. Oudere 1024-bit-sleutels werken nog wel maar worden naar de huidige maatstaven als zwak beschouwd (NIST SP 800-131A / RFC 8301).

Hoe «goed» eruitziet: een geldige DKIM-sleutel is gepubliceerd op een selector voor uw domein, uw uitgaande mail wordt ermee ondertekend, en de sleutel is 2048-bit of sterker. Dat is de volledige pass.

Een opmerking over hoe dit wordt gescoord. Deze controle zoekt naar een echte, goed gevormde DKIM-sleutel die gepubliceerd is op de selectors die mailproviders gewoonlijk gebruiken. Een gepubliceerde geldige sleutel is het positieve signaal — een externe scanner kan uw live handtekeningen niet opnieuw afspelen, dus de aanwezigheid van een correcte sleutel is wat gemeten wordt. Geen sleutel gevonden faalt de controle (het is een hoog-ernstig gat). Een geldige sleutel die zwak is (1024-bit RSA) verdient ongeveer de helft van de punten — die werkt maar zou moeten worden opgewaardeerd. Een sterke sleutel (2048-bit RSA of beter, of Ed25519) verdient volle punten. Dit is een van de e-mailbeveiligingscontroles die meetelt voor uw beoordeling, goed voor een betekenisvol aandeel ervan.

Hoe los je het op (gratis, ~15 minuten)

Dit deel is voor wie uw e-mail of domein beheert — als dat niet u bent, geef hun dit onderdeel. De oplossing is gratis. Wij rekenen alleen kosten om te bewaken dat uw beschermingen na verloop van tijd gezond blijven, niet om ze in te stellen.

De algemene vorm is overal hetzelfde: zet DKIM aan in uw e-mailprovider, neem de sleutel die deze genereert, publiceer die in uw DNS, en bevestig dan dat het live is. De exacte stappen hangen af van wie uw e-mail beheert — hier zijn de meest voorkomende.

Google Workspace (Gmail)

1. Adminconsole → Apps → Google Workspace → Gmail → E-mail authenticeren.
2. Selecteer uw domein en klik op Nieuw record genereren (kies de sleutellengte 2048-bit).
3. Google geeft u een DNS-record. Voeg dat bij uw DNS-host toe als TXT-record, host google._domainkey.uwdomein, met de waarde die Google leverde.
4. Wacht tot het is gepropageerd (minuten tot een paar uur), ga dan terug naar hetzelfde scherm en klik op Authenticatie starten.

Microsoft 365 (Outlook / Exchange Online)

1. Ga naar het Microsoft Defender-portaal → E-mail & samenwerking → Beleid & regels → Bedreigingsbeleid → E-mailauthenticatie-instellingen → DKIM.
2. Selecteer uw domein. Microsoft toont u twee CNAME-records om te publiceren (selector1 en selector2).
3. Voeg beide CNAME-records exact zoals getoond toe bij uw DNS-host.
4. Terug in het DKIM-scherm, zet DKIM-ondertekening op Ingeschakeld voor het domein.

Zoho Mail

1. Configuratiescherm → E-mailauthenticatie → DKIM.
2. Genereer een sleutel (gebruik een selector zoals zoho), voeg dan het geleverde TXT-record toe op zoho._domainkey.uwdomein in uw DNS.
3. Verifieer in het Zoho-paneel zodra het record live is.

Andere providers / uw eigen mailserver Het patroon is identiek: de provider (of uw mailsoftware) genereert een sleutelpaar, ondertekent uw uitgaande mail met de privésleutel, en geeft u een publiek record om te publiceren. Het ziet er doorgaans zo uit:

Host:  selector1._domainkey.uwdomein
Type:  TXT (of CNAME, afhankelijk van provider)
Value: (de lange sleutelreeks die uw provider geeft)

Waar DNS-records worden toegevoegd: in de DNS-instellingen van uw domein — meestal bij uw domeinregistrar of DNS-host (bijv. Cloudflare, GoDaddy, uw hostingconfiguratiescherm). Als uw e-mailprovider een CNAME levert, wijst die naar een record dat zij hosten, dus u ziet de ruwe sleutel nooit — dat is normaal en prima.

Bevestig dat het werkt: stuur uzelf een test-e-mail naar een Gmail-account, open die, kies Origineel weergeven en controleer of DKIM: PASS verschijnt. Controleer dan uw domein hier opnieuw om te bevestigen dat de sleutel doorkwam als 2048-bit of sterker, niet als een zwakke 1024-bit.

Veelgemaakte fouten

• Aannemen dat een grote provider het standaard aan heeft. Heel wat domeinen bij Google of Microsoft moeten DKIM nog aanzetten en een record publiceren. «We gebruiken Microsoft 365» is niet hetzelfde als «DKIM staat aan».
• Een zwakke 1024-bit-sleutel genereren. Sommige providers gebruiken nog standaard 1024-bit of bieden dat aan. Kies 2048-bit wanneer u de keuze hebt — een zwakke sleutel verdient slechts de helft van de punten en wordt door strengere ontvangers gemarkeerd.
• Het record publiceren maar ondertekening nooit inschakelen. Het DNS-record toevoegen is maar de helft van de klus. Zet u de ondertekening niet aan in de provider (de laatste schakelaar), dan gaat uw mail nog steeds ongetekend de deur uit.
• De sleutel verkeerd typen of afkappen. DKIM-sleutels zijn lang. Een kopieer-plak die een teken laat vallen of de waarde verkeerd splitst, produceert een kapot zegel dat op elke e-mail faalt. Plak de waarde exact zoals gegeven.
• Uw andere afzenders vergeten. Als u mail verstuurt via een nieuwsbrieftool, CRM, facturatie-app of e-commerceplatform, heeft elk mogelijk zijn eigen DKIM-sleutel en selector nodig. Onderteken mail van alle services die namens u versturen, niet alleen uw mailbox.

Een opmerking over DKIM, SPF en DMARC

DKIM werkt zelden alleen. Het is een van drie instellingen die samen uw e-mail betrouwbaar maken:

• SPF zegt welke servers namens uw domein mogen mailen.
• DKIM (deze pagina) is het fraudebestendige zegel dat bewijst dat een bericht echt van u is en ongewijzigd.
• DMARC is de instructie die providers vertelt wat te doen met alles wat faalt — en het leunt op DKIM en SPF om die afweging te maken.

Als u DKIM aan het oplossen bent, is het de moeite waard om SPF en DMARC tegelijk te controleren. Samen zijn ze wat voorkomt dat uw bedrijf wordt nagebootst en wat ervoor zorgt dat uw echte e-mail belandt waar die hoort. Alle drie de oplossingen zijn gratis.

Stel het in bij je host

Stap voor stap voor populaire providers:

• DKIM instellen op GoDaddy
• DKIM instellen op Namecheap
• DKIM instellen op Cloudflare
• DKIM instellen op Google Workspace
• DKIM instellen op Microsoft 365
• DKIM instellen op Squarespace
• DKIM instellen op Wix
• DKIM instellen op AWS Route 53
• DKIM instellen op Hostinger
• DKIM instellen op Porkbun
• DKIM instellen op IONOS
• DKIM instellen op Bluehost

Veelgestelde vragen