DKIM handtekening

Voordat de DKIM handtekening ingesteld kan worden moet worden bedacht welke elementen van de e-mail in de DKIM handtekening opgenomen moeten worden. Normaliter is dit de inhoud van het bericht en een aantal standaard headers maar dit kan per geval verschillen. Wanneer besloten is welke elementen in de DKIM handtekening moeten komen, mogen deze elementen niet meer veranderd worden anders zal de DKIM validatie falen.

De DKIM handtekening wordt gegenereerd in een unieke tekstreeks. Deze tekstreeks noemen wij doorgaans Hash waarde. Voordat een e-mail wordt uitgezonden is de hash waarde versleuteld met een privé sleutel, de DKIM handtekening. Wanneer een e-mail is versleuteld is deze voorzien van een DKIM handtekening.

E-mail ontvangers, zoals Gmail en Microsoft (Hotmail, Outlook etc), nemen de DKIM handtekening waar. Deze DKIM handtekening laat zien welk domein gebruikt werd om de mail in het encryptie proces te ondertekenen. Om de DKIM handtekening te valideren moet de e-mail ontvanger een DNS-query uitvoeren om de publieke sleutel voor dat domein te localiseren. De variabelen die in de DKIM handtekening worden verstrekt, worden gebruikt om te bepalen waar de sleutel gezocht moet worden. Als de sleutel is gevonden, kan deze worden gebruikt om de DKIM-handtekening te decoderen naar de oorspronkelijke hash waarde. Deze waarden zal worden vergeleken met de nieuwe waarden die zijn ontvangen van de ontvangen mail. Als deze overeenkomen met de DKIM dan zal de e-mail worden gevalideerd.

DKIM alleen is geen betrouwbare manier om de identiteit van een zender te achterhalen. DKIM is niet zichtbaar voor niet-technische eindgebruikers en helpt ook niet om spoofing van de zichtbare “header from” te voorkomen. DMARC wordt gebruikt om de strijd tegen e-mail spoofing aan te gaan DMARC doet dit door te garanderen dat het domein, dat zichtbaar is voor de eindgebruiker, hetzelfde is als de domeinen die worden gevalideerd door de DKIM en SPF checks. Tevens biedt DMARC e-mail ontvangers instructies over wat ze moeten doen met e-mails die niet door deze checks komen.

Start met de implementatie van DMARC en beveilig jouw e-mail kanaal.