Defaults.Exposed › Instellen › DKIM

DKIM instellen bij Cloudflare

Publiceer de DKIM-sleutel van je e-mailprovider in de Cloudflare-DNS, zodat je e-mails een handtekening dragen die niet te vervalsen is.

Waarom dit belangrijk is voor je bedrijf

DKIM (DomainKeys Identified Mail) zet onder elke e-mail die je verstuurt een onzichtbare digitale handtekening. De ontvangende mailprovider gebruikt een openbare sleutel die jij in je DNS hebt gepubliceerd om twee dingen vast te stellen: dat het bericht echt van jouw domein kwam, en dat niemand het onderweg heeft aangepast.

In gewone taal: DKIM is een echtheidszegel op je e-mail. Het maakt het lastiger om jou na te doen en vergroot de kans dat je echte berichten in de inbox belanden in plaats van in de spam. Net als de andere maatregelen is het gratis en hoef je het maar één keer in te stellen.

Belangrijk: DKIM bestaat uit twee helften

DKIM is de ene record waarbij het er echt toe doet wie wat doet:

• Je mailprovider maakt de sleutel aan. Google Workspace, Microsoft 365 of wie dan ook je mailboxen beheert, maakt de DKIM-sleutel voor je aan, binnen hun beheerconsole. Je kunt deze niet zelf verzinnen — je moet de exacte hostnaam en waarde bij hen opvragen. Cloudflare maakt geen DKIM-sleutels aan; het is je DNS-host, niet je mailboxprovider.
• Cloudflare publiceert hem. Vervolgens voeg je die sleutel toe aan de DNS van je domein in Cloudflare (mits Cloudflare je DNS beheert — zie hieronder).

Dus: aanmaken in het mailplatform, publiceren bij de DNS-host.

Controleer eerst of Cloudflare je DNS beheert

Een DKIM-record werkt alleen als Cloudflare de DNS voor je domein beantwoordt. De DNS van Cloudflare is pas actief wanneer de nameservers van je domein (ingesteld bij je registrar) verwijzen naar de Cloudflare-nameservers die in je dashboard staan. Open je domein in Cloudflare en bekijk de pagina Overview — daar zie je of Cloudflare actief is. Verwijzen je nameservers naar een andere provider, voeg het DKIM-record dan daar toe; bij Cloudflare heeft het anders geen effect.

Haal de sleutel op bij je mailprovider

Zoek in het beheergedeelte van je mailprovider naar de instelling voor DKIM of e-mailverificatie en genereer of activeer een sleutel. Je krijgt twee stukken tekst:

• Een host-/selectornaam, iets als google._domainkey of selector1._domainkey.
• Een lange waarde die begint met v=DKIM1;, gevolgd door k=rsa; p= en een zeer lange reeks tekens (de openbare sleutel).

Kopieer beide exact.

Stap voor stap bij Cloudflare

1. Log in bij Cloudflare en selecteer je domein.
2. Ga in het menu links naar je DNS-instellingen (zoek naar DNS / Records).
3. Klik op Add record.
4. Zet Type op TXT voor de meeste DKIM-sleutels. Gebruik CNAME alleen als je provider je dat uitdrukkelijk heeft gevraagd — sommige providers, waaronder Microsoft 365, gebruiken CNAME-records die terugverwijzen naar hun servers.
5. Vul in het veld Name alleen het selectorgedeelte in — bijvoorbeeld google._domainkey of selector1._domainkey. Voeg je domeinnaam er niet achter toe; Cloudflare plakt die er automatisch aan.
6. Plak in het veld Content de lange sleutelwaarde precies zoals je provider hem gaf. (Bij een CNAME plak je in plaats daarvan de doelhost die ze je gaven.)
7. Laat TTL op Auto staan.
8. Klik op Save.

Valkuilen bij Cloudflare

• Zet niet het volledige domein in Name. Toont de instructie van je provider selector1._domainkey.yourdomain.com, voer dan in Cloudflare alleen selector1._domainkey in — de rest wordt voor je toegevoegd. Het domein er nogmaals bij zetten levert een kapotte host op als ..yourdomain.com.yourdomain.com.
• Plak de hele sleutel — hij is lang. DKIM-sleutels zijn honderden tekens lang. Zorg dat er niets is afgekapt en dat er bij het plakken geen losse spaties of regeleinden in zijn geslopen. Cloudflare splitst een lange TXT-waarde achter de schermen op in segmenten — dat is normaal en geen probleem.
• Voeg geen eigen aanhalingstekens toe. Plak de kale waarde; Cloudflare regelt de aanhalingstekens zelf. Handmatig toegevoegde "-tekens kunnen het record beschadigen.
• TXT of CNAME — volg je provider. Zeggen ze CNAME, kies dan CNAME en plak hun doelhost als content; zet het niet om naar TXT.
• Zet een CNAME op DNS only (grijze wolk). Verificatierecords mogen niet via de proxy lopen — zorg dat de proxystatus de grijze wolk toont, niet de oranje, zodat het record naar de waarde van je mailprovider verwijst en niet naar de Cloudflare-proxy.
• Laat de selector exact kloppen. De selector in het veld Name moet teken voor teken overeenkomen met wat je provider verwacht — zo vindt de ontvanger de juiste sleutel.
• Geef het tijd. DNS-wijzigingen kunnen minuten tot enkele uren nodig hebben om door te dringen voordat DKIM gaat valideren.

Controleer of het is gelukt

Voer na het opslaan en na een korte propagatietijd de gratis controle op deze site uit. Die bevestigt in gewone taal of je DKIM-record gepubliceerd en leesbaar is.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.