Defaults.Exposed › Instellen › DKIM

DKIM instellen bij Google Workspace

Genereer een DKIM-sleutel in de Google Admin-console en publiceer hem in je DNS, zodat je e-mails een handtekening dragen die niet te vervalsen is.

Waarom dit belangrijk is voor je bedrijf

DKIM (DomainKeys Identified Mail) zet onder elke e-mail die je verstuurt een onzichtbare digitale handtekening. De ontvangende mailprovider gebruikt een openbare sleutel die jij in je DNS hebt gepubliceerd om twee dingen vast te stellen: dat het bericht echt van jouw domein kwam, en dat niemand het onderweg heeft aangepast.

In gewone taal: DKIM is een echtheidszegel op je e-mail. Het maakt het lastiger om jou na te doen en vergroot de kans dat je echte berichten in de inbox belanden in plaats van in de spam. Het is gratis en je hoeft het maar één keer in te stellen.

Belangrijk: DKIM bestaat uit twee helften

DKIM is de ene record waarbij het er echt toe doet wie wat doet:

• Google maakt de sleutel aan — in de Google Admin-console. Je logt in op admin.google.com en laat Google de DKIM-sleutel voor je domein aanmaken. Je kunt deze waarde niet zelf verzinnen; Google maakt hem voor je aan.
• Je DNS-host publiceert hem. Vervolgens voeg je die sleutel toe aan de DNS van je domein — bij het bedrijf dat je nameservers beheert (je registrar, webhost, Cloudflare, enzovoort). Dat is meestal niet Google.

Dus: aanmaken in Google Workspace, publiceren bij je DNS-host. Beide helften zijn nodig, en er is een extra stap aan het eind waarbij je teruggaat naar Google om DKIM aan te zetten.

Stap 1 — Genereer de sleutel in de Google Admin-console

1. Log met een beheerdersaccount in op de Google Admin-console via admin.google.com.
2. Ga naar Apps → Google Workspace → Gmail en open vervolgens E-mail verifiëren (dit is het DKIM-gedeelte).
3. Selecteer je domein uit de lijst.
4. Kies desgevraagd de sleutellengte (de standaard, doorgaans 2048-bit, is prima) en klik op Nieuwe record genereren.
5. Google toont je nu twee stukken tekst:
   • Een DNS-hostnaam / selector, die bij Google doorgaans google._domainkey is.
   • Een lange TXT-recordwaarde die begint met v=DKIM1; k=rsa; p=, gevolgd door een zeer lange reeks tekens (de openbare sleutel).
6. Laat deze pagina open staan — je kopieert deze straks naar je DNS en komt daarna terug om DKIM aan te zetten.

Stap 2 — Publiceer de sleutel bij je DNS-host

Zorg er eerst voor dat je werkt bij het bedrijf dat daadwerkelijk je DNS beheert. Een DKIM-record werkt alleen als het wordt toegevoegd op de plek waar de nameservers van je domein naar verwijzen. Twijfel je, controleer dan het onderdeel Nameservers in je registrar-account, of vraag het aan degene die je website beheert.

1. Log in bij je DNS-host en open de DNS-instellingen voor je domein (zoek naar DNS / Records / Advanced DNS).
2. Voeg een nieuw record toe en kies TXT.
3. Vul in het veld Name / Host alleen het selectorgedeelte in — bij Google is dat meestal google._domainkey. Voeg je domeinnaam er niet achter toe; de DNS-host plakt die er automatisch aan.
4. Plak in het veld Value de lange sleutelwaarde die Google je gaf, exact.
5. Laat TTL op de standaardwaarde staan.
6. Sla op.

Stap 3 — Zet DKIM aan, terug in Google

Het record publiceren is niet genoeg — je moet Google opdragen te gaan ondertekenen.

1. Ga terug naar de pagina E-mail verifiëren in de Google Admin-console.
2. Klik op Verificatie starten.
3. Google controleert of het record zichtbaar is in je DNS. Kan het het nog niet vinden, geef de DNS dan even tijd om door te dringen (minuten tot enkele uren) en probeer het opnieuw.

Valkuilen

• Twee plekken, in volgorde. Aanmaken in Google, publiceren in DNS, daarna terug en op Verificatie starten klikken. Sla je de laatste stap over, dan is de sleutel gepubliceerd maar ondertekent Google je post nooit.
• Zet niet het volledige domein in Host. Toont de instructie google._domainkey.yourdomain.com, voer dan bij je DNS-host alleen google._domainkey in — de rest wordt voor je toegevoegd. Het domein er nogmaals bij zetten levert een kapotte host op als google._domainkey.yourdomain.com.yourdomain.com.
• Plak de hele sleutel — hij is lang. DKIM-sleutels zijn honderden tekens lang. Sommige DNS-hosts hebben een tekenlimiet per veld en splitsen lange TXT-waarden over meerdere stukken tussen aanhalingstekens — dat is normaal en Google gaat daarmee om, maar zorg dat er niets is afgekapt en dat er geen losse spaties of regeleinden in zijn geslopen.
• Let op de aanhalingstekens. Plak de kale waarde; de meeste DNS-hosts voegen de aanhalingstekens voor je toe. Zelf "-tekens toevoegen kan het record beschadigen.
• Laat de selector exact kloppen. De host in je DNS moet teken voor teken overeenkomen met wat Google verwacht (google._domainkey) — zo vindt de ontvanger de juiste sleutel.
• Geef het tijd. DNS-wijzigingen kunnen minuten tot enkele uren nodig hebben voordat Google kan bevestigen en DKIM gaat valideren.

Controleer of het is gelukt

Voer, nadat je het record hebt gepubliceerd, verificatie hebt aangezet en een korte propagatietijd hebt afgewacht, de gratis controle op Defaults.Exposed uit. Die bevestigt in gewone taal of je DKIM-record gepubliceerd en leesbaar is. Je gegevens worden in de EU verwerkt.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.