Deel 6 van de serie "EU-webbeveiliging: in 10 stappen naar een betere rating"
Het probleem
SPF controleert of de mailserver geautoriseerd is. Maar SPF controleert niet of de inhoud van de e-mail onderweg is gewijzigd. Een gecompromitteerde relayserver kan de tekst veranderen, links verwisselen, bijlagen manipuleren — en SPF zegt nog steeds "pass".
DKIM lost dit op: uw mailserver ondertekent elke uitgaande e-mail met een privésleutel. De ontvanger verifieert de handtekening met de publieke sleutel die in uw DNS is gepubliceerd. Als de e-mail is gewijzigd, komt de handtekening niet overeen — de ontvanger weet: manipulatie.
DKIM-adoptie in de EU: 31,1%. Twee op de drie domeinen ondertekenen hun e-mails niet.
Waarom DKIM cruciaal is voor DMARC
DMARC controleert: slaagt SPF OF DKIM — en is het domein aligned? In de praktijk faalt SPF regelmatig bij doorgestuurde e-mails (doorsturen breekt SPF). DKIM overleeft doorsturen omdat de handtekening aan de mailheader is gekoppeld, niet aan de verzendende server.
Zonder DKIM faalt uw DMARC-beleid bij elke doorgestuurde e-mail. Mailinglijsten, Outlook-doorstuurregels, automatisch doorsturen — ze genereren allemaal SPF-fouten. Alleen DKIM redt de afleverbaarheid.
Hoe u DKIM instelt
Google Workspace
- Beheerconsole > Apps > Google Workspace > Gmail > E-mail authenticeren
- "Nieuwe DKIM-sleutel genereren" > Sleutellengte 2048 bit
- Voeg het getoonde TXT-record toe aan uw DNS (onder
google._domainkey.uw-domein.com) - Terug in de Beheerconsole: "Authenticatie starten"
Microsoft 365
- Microsoft 365 Defender > Beleid > E-mailauthenticatie > DKIM
- Selecteer domein > "DKIM-sleutel maken"
- Voeg twee CNAME-records toe aan uw DNS (Microsoft toont ze)
- Schakel DKIM in
Brevo / Mailchimp / Nieuwsbrieftools
De meeste nieuwsbrieftools vereisen DKIM-configuratie tijdens domeinverificatie:
- In de tool: Domein toevoegen > DKIM-record wordt getoond
- Voeg het TXT-record toe aan uw DNS
- In de tool: Domein verifiëren
Handmatige configuratie (Postfix / zelf-gehoste mailserver)
# OpenDKIM installeren
apt install opendkim opendkim-tools
# Sleutelpaar genereren
opendkim-genkey -t -s mail -d uw-domein.com
# Publieke sleutel toevoegen aan DNS
cat mail.txt # -> TXT-record onder mail._domainkey.uw-domein.com
Sleutellengte
- 1024 bit: minimum, nog geaccepteerd, maar cryptografisch marginaal
- 2048 bit: standaard, aanbevolen
- 4096 bit: maximale beveiliging, maar sommige DNS-providers hebben problemen met de lengte van TXT-records (>255 tekens vereisen splitting)
Uit de benchmark: slechts 31% heeft DKIM — en daarvan gebruikt ongeveer 60% nog 1024-bit sleutels. Wij adviseren een upgrade naar 2048 bit.
Veelgemaakte fouten
1. DKIM vergeten voor externe afzenders. Elke dienst die namens u e-mails verstuurt, heeft een eigen DKIM-selector nodig: Google Workspace, nieuwsbrieftool, ticketsysteem, CRM. Elk krijgt een eigen selector._domainkey-record.
2. Sleutels nooit roteren. DKIM-sleutels moeten elke 6-12 maanden worden geroteerd. De meeste providers doen dit automatisch — maar verifieer het.
3. DKIM zonder DMARC. DKIM alleen verifieert alleen de handtekening. Zonder DMARC vertelt het de ontvanger niet wat te doen met niet-ondertekende e-mails.
Controleer uw e-mailbeveiliging
SiteGuardian controleert SPF, DKIM (inclusief sleutellengte en selectordetectie), DMARC en STARTTLS:
Volgende week in Deel 7: X-Content-Type-Options en Referrer-Policy — twee headers, vijf minuten, meetbaar betere bescherming.