Defaults.Exposed › Instellen › DKIM

DKIM instellen bij Microsoft 365

Publiceer twee DKIM-records in je DNS en zet DKIM aan in Microsoft 365, zodat je e-mails een handtekening dragen die niet te vervalsen is.

Waarom dit belangrijk is voor je bedrijf

DKIM (DomainKeys Identified Mail) zet onder elke e-mail die je verstuurt een onzichtbare digitale handtekening. De ontvangende mailprovider gebruikt een openbare sleutel die jij in je DNS hebt gepubliceerd om twee dingen vast te stellen: dat het bericht echt van jouw domein kwam, en dat niemand het onderweg heeft aangepast.

In gewone taal: DKIM is een echtheidszegel op je e-mail. Het maakt het lastiger om jou na te doen en vergroot de kans dat je echte berichten in de inbox belanden in plaats van in de spam. Het is gratis en je hoeft het maar één keer in te stellen.

Belangrijk: DKIM bij Microsoft 365 doe je op twee plekken

DKIM is de ene record waarbij het er echt toe doet wie wat doet. Microsoft 365 pakt het bovendien net iets anders aan dan de meeste providers — goed om te weten, zodat je niet vastloopt:

• Microsoft gebruikt twee CNAME-records, geen lange TXT-sleutel. De meeste providers geven je één gigantische TXT-sleutel. Microsoft laat je in plaats daarvan twee korte CNAME-records publiceren (genaamd selector1 en selector2) die terugverwijzen naar Microsoft. Microsoft houdt de eigenlijke sleutels zelf en kan ze veilig roteren achter die verwijzingen.
• Je DNS-host publiceert de twee CNAME’s. Je voegt ze toe op de plek waar de nameservers van je domein naar verwijzen — je registrar, webhost, Cloudflare, enzovoort. Dat is meestal niet Microsoft (tenzij je Microsoft je DNS laat beheren).
• Daarna zet je DKIM aan binnen Microsoft. De records publiceren is niet genoeg; er is een laatste stap in het beveiligingsportaal van Microsoft waarbij je het ondertekenen inschakelt.

Dus: publiceer twee CNAME’s bij je DNS-host en zet daarna in Microsoft DKIM aan.

Stap 1 — Haal de twee recordwaarden op bij Microsoft

1. Log in als beheerder en open het beveiligingsportaal van Microsoft via security.microsoft.com.
2. Ga naar het onderdeel Email & collaboration en vind Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft verplaatst deze labels af en toe — zoek naar DKIM onder de instellingen voor e-mailverificatie of antispam).
3. Selecteer je domein.
4. Microsoft toont je de twee records die je moet aanmaken. Ze zien er zo uit, met je eigen domein en unieke codes ingevuld:
   • Host 1: selector1._domainkey → verwijst naar selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → verwijst naar selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. Kopieer beide doelwaarden exact. Je kunt deze niet zelf verzinnen — Microsoft genereert ze voor jouw tenant.

Stap 2 — Publiceer de twee CNAME’s bij je DNS-host

Zorg er eerst voor dat je werkt bij het bedrijf dat daadwerkelijk je DNS beheert. De records werken alleen als ze worden toegevoegd op de plek waar de nameservers van je domein naar verwijzen. Twijfel je, controleer dan het onderdeel Nameservers in je registrar-account, of vraag het aan degene die je website beheert.

1. Log in bij je DNS-host en open de DNS-instellingen voor je domein (zoek naar DNS / Records / Advanced DNS).
2. Voeg een nieuw record toe en kies CNAME (niet TXT — dit is het deel dat mensen verkeerd doen).
3. Vul voor het eerste record in het veld Name / Host alleen selector1._domainkey in. Voeg je domein er niet achter toe; de DNS-host plakt het er automatisch aan.
4. Plak in het veld Value / Points to / Target het eerste doel van Microsoft, bijv. selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. Herhaal dit voor het tweede record: Name = selector2._domainkey, Value = het tweede doel van Microsoft.
6. Laat TTL op de standaardwaarde staan.
7. Sla beide op.

Stap 3 — Zet DKIM aan, terug in Microsoft

De records publiceren is niet genoeg — je moet Microsoft opdragen te gaan ondertekenen.

1. Ga terug naar de pagina DKIM in het beveiligingsportaal van Microsoft.
2. Selecteer je domein en zet Sign messages for this domain with DKIM signatures op On (de schakelaar kan ook Enable heten).
3. Microsoft controleert of de twee records zichtbaar zijn in je DNS. Kan het ze nog niet vinden, geef de DNS dan even tijd om door te dringen (minuten tot enkele uren) en probeer het opnieuw.

Valkuilen

• CNAME, geen TXT. De DKIM van Microsoft gebruikt twee CNAME-records die terugverwijzen naar Microsoft. Een TXT-sleutel proberen te plakken (zoals andere providers het doen) werkt hier niet.
• Beide records, dan de schakelaar. Je hebt selector1 en selector2 gepubliceerd nodig, en daarna de inschakelstap binnen Microsoft. De schakelaar overslaan betekent dat de records bestaan maar Microsoft je post nooit ondertekent.
• Zet niet het volledige domein in Host. Voer alleen selector1._domainkey / selector2._domainkey in — de rest wordt voor je toegevoegd. Het domein er nogmaals bij zetten levert een kapotte host op als selector1._domainkey.yourdomain.com.yourdomain.com.
• Plak de doelen exact. De onmicrosoft.com-doelen bevatten je tenantnaam en unieke codes — één verkeerd teken en DKIM valideert niet.
• Let op de aanhalingstekens. Een CNAME-doel is een kale hostnaam; zet er geen "..." omheen. Aanhalingstekens horen bij TXT-records, niet bij CNAME’s.
• Geef het tijd. DNS-wijzigingen kunnen minuten tot enkele uren nodig hebben voordat Microsoft kan bevestigen en DKIM gaat valideren.

Controleer of het is gelukt

Voer, nadat je beide records hebt gepubliceerd, DKIM hebt aangezet en een korte propagatietijd hebt afgewacht, de gratis controle op Defaults.Exposed uit. Die bevestigt in gewone taal of je DKIM gepubliceerd en leesbaar is. Je gegevens worden in de EU verwerkt.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.