Defaults.Exposed › Instellen › DKIM
DKIM instellen bij AWS Route 53
Publiceer de DKIM-sleutel van je e-mailprovider in je Route 53-hosted zone, zodat je e-mails een handtekening dragen die niet te vervalsen is.
Waarom dit belangrijk is voor je bedrijf
DKIM (DomainKeys Identified Mail) zet onder elke e-mail die je verstuurt een onzichtbare digitale handtekening. De ontvangende mailprovider gebruikt een openbare sleutel die jij in je DNS hebt gepubliceerd om twee dingen vast te stellen: dat het bericht echt van jouw domein kwam, en dat niemand het onderweg heeft aangepast.
In gewone taal: DKIM is een echtheidszegel op je e-mail. Het maakt het lastiger om jou na te doen en vergroot de kans dat je echte berichten in de inbox belanden in plaats van in de spam. Net als de andere maatregelen is het gratis en hoef je het maar één keer in te stellen.
Belangrijk: DKIM bestaat uit twee helften
DKIM is de ene record waarbij het er echt toe doet wie wat doet:
- Je mailprovider maakt de sleutel aan. Google Workspace, Microsoft 365, Amazon SES of wie dan ook je verzending verzorgt, maakt de DKIM-sleutel voor je aan, binnen hun beheerconsole. Je kunt deze niet zelf verzinnen — je moet de exacte hostnaam en waarde bij hen opvragen. Route 53 maakt geen DKIM-sleutels aan; het is je DNS-host, niet je mailboxprovider.
- Route 53 publiceert hem. Vervolgens voeg je die sleutel toe aan de DNS van je domein in Route 53 (mits Route 53 je DNS beheert — zie hieronder).
Dus: aanmaken in het mailplatform, publiceren bij de DNS-host.
Controleer eerst of Route 53 je DNS beheert
Een DKIM-record werkt alleen als Route 53 de DNS voor je domein beantwoordt. Open in de Route 53-console Hosted zones, selecteer je domein en noteer de vier NS-waarden (nameservers). Die moeten overeenkomen met de nameservers die bij je registrar zijn ingesteld. Heb je het domein via Route 53 geregistreerd, dan komen ze meestal al overeen; is het elders geregistreerd — of heb je meer dan één hosted zone voor het domein — controleer dan zorgvuldig. Verwijzen de live nameservers naar een andere provider, voeg het DKIM-record dan daar toe; bij Route 53 heeft het anders geen effect.
Haal de sleutel op bij je mailprovider
Zoek in het beheergedeelte van je mailprovider naar de instelling voor DKIM of e-mailverificatie en genereer of activeer een sleutel. Wat je terugkrijgt, hangt af van de provider en bepaalt hoe je het in Route 53 invoert:
- Google Workspace geeft je een TXT-record: een selectornaam als
google._domainkeyen een lange waarde die begint metv=DKIM1; k=rsa; p=, gevolgd door een zeer lange reeks. - Microsoft 365 geeft je twee CNAME-records, met selectors als
selector1._domainkeyenselector2._domainkey, die elk naar een Microsoft-host verwijzen. - Amazon SES geeft je drie CNAME-records (de functie «Easy DKIM»). Staat je domein in Route 53, dan kan SES vaak aanbieden deze automatisch voor je toe te voegen — maar je kunt ze ook met de hand toevoegen.
Kopieer de hostnamen en waarden exact.
Stap voor stap bij Route 53
- Log in op de AWS-console en open Route 53.
- Kies in het menu links Hosted zones en klik vervolgens op de naam van je domein.
- Klik op Create record.
- Verschijnt er een wizard met routeringsopties, schakel dan over naar het eenvoudige formulier (zoek naar Quick create record).
- Vul in Record name alleen het selectorgedeelte in — bijvoorbeeld
google._domainkeyofselector1._domainkey. Voeg je domeinnaam er niet achter toe; Route 53 plakt de zone er automatisch aan (het toont je domein naast het veld). - Zet Record type op TXT of CNAME, precies passend bij wat je provider gaf (Google = TXT; Microsoft 365 en Amazon SES = CNAME).
- In Value:
- Bij een TXT-sleutel plak je de lange waarde tussen dubbele aanhalingstekens:
"v=DKIM1; k=rsa; p=...". - Bij een CNAME plak je de doelhost die je provider gaf, zonder aanhalingstekens (bijv.
selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
- Bij een TXT-sleutel plak je de lange waarde tussen dubbele aanhalingstekens:
- Laat TTL op de standaardwaarde staan.
- Klik op Create records. Herhaal dit voor elk record (Microsoft 365 heeft er twee nodig; Amazon SES drie).
Valkuilen bij Route 53
- TXT-sleutels hebben dubbele aanhalingstekens nodig; CNAME’s niet. Hier struikelen mensen voortdurend over. Een TXT-DKIM-waarde gaat erin als
"v=DKIM1; ... p=..."mét de aanhalingstekens. Een CNAME-waarde is gewoon de kale doelhost, zonder aanhalingstekens. Deze door elkaar halen breekt het record. - Zet niet het volledige domein in Record name. Toont de instructie van je provider
selector1._domainkey.yourdomain.com, voer dan in Route 53 alleenselector1._domainkeyin — de rest wordt voor je toegevoegd. Het domein er nogmaals bij zetten levert een kapotte host op alsselector1._domainkey.yourdomain.com.yourdomain.com. - Plak de hele sleutel — hij is lang. TXT-DKIM-sleutels zijn honderden tekens lang. Zorg dat er niets is afgekapt en dat er bij het plakken geen losse spaties of regeleinden in zijn geslopen.
- Voeg elk record toe dat je provider vroeg. Microsoft 365 valideert niet met maar één van zijn twee CNAME’s; Amazon SES heeft alle drie nodig. Een onvolledige set laat DKIM geruisloos falen.
- TXT of CNAME — volg je provider. Zet een CNAME niet om naar een TXT of andersom. Gebruik het type dat zij opgeven.
- Juiste hosted zone, juiste account. Met meerdere zones of AWS-accounts bewerk je makkelijk de verkeerde. Zorg dat de vier NS-waarden van de zone overeenkomen met je live nameservers.
- Geef het tijd. DNS-wijzigingen kunnen minuten tot enkele uren nodig hebben om door te dringen voordat DKIM gaat valideren.
Controleer of het is gelukt
Voer na het opslaan en na een korte propagatietijd de gratis controle op deze site uit. Die bevestigt in gewone taal of je DKIM-record gepubliceerd en leesbaar is.
Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.