DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) is een e-mailauthenticatiestandaard waarmee de verzendende mailserver een cryptografische digitale handtekening aan uitgaande berichten kan toevoegen. De ontvangende server haalt de bijbehorende publieke sleutel op uit de DNS-records van het afzenderdomein en gebruikt deze om de handtekening te verifiëren. Als de handtekening geldig is, weet de ontvanger dat de e-mail daadwerkelijk van het opgegeven domein komt en niet is gewijzigd tijdens transport. DKIM werkt samen met [SPF](/glossary/spf) (Sender Policy Framework) en [DMARC](/glossary/dmarc) (Domain-based Message Authentication, Reporting & Conformance) om een compleet e-mailauthenticatieframework te vormen dat zowel afzenders als ontvangers beschermt.

E-mail blijft een primair kanaal voor het delen van digitale publicaties, het verzenden van leadcapture-notificaties en het afleveren van transactionele berichten. Zonder DKIM worden e-mails vaker gemarkeerd als spam of volledig afgewezen door ontvangende mailservers. Grote providers zoals Gmail, Outlook en Yahoo vereisen nu DKIM voor bulkverzenders, en berichten zonder geldige handtekeningen worden steeds agressiever gefilterd. Een juiste DKIM-configuratie verbetert de afleverbaarheid, beschermt je merk tegen spoofing (waarbij aanvallers e-mails versturen die doen alsof ze van jouw domein komen) en bouwt vertrouwen op bij e-mailproviders. Voor uitgevers die afhankelijk zijn van e-mail om flipbooks te verspreiden en leads te verzamelen, beïnvloedt DKIM direct of je publiek je berichten daadwerkelijk ziet.

FlipLink verstuurt e-mails namens jou voor leadcapture-notificaties, gedeelde publicatielinks en [e-mailsjablonen](/features/email-templates). Deze e-mails worden verzonden via een infrastructuur met geconfigureerd DKIM, wat betekent dat elk uitgaand bericht een geldige cryptografische handtekening draagt. Als je een [aangepast domein](/features/custom-domains) gebruikt voor je publicaties en deel-e-mails wilt versturen vanaf dat domein, configureer je DKIM DNS-records om FlipLink's mailservers te autoriseren namens jou te verzenden. Dit zorgt ervoor dat ontvangers jouw domein als geverifieerde afzender zien, wat de inboxplaatsing maximaliseert en de geloofwaardigheid van je merk behoudt.

Het instellen van DKIM omvat zowel DNS-configuratie als mailservercoördinatie. Zo ziet het proces er doorgaans uit: 1. **Genereer een sleutelpaar.** Je maildienst of platform (zoals FlipLink) genereert een privésleutel (bewaard op de verzendserver) en een publieke sleutel (gepubliceerd in DNS). 2. **Voeg het DNS TXT-record toe.** Maak een TXT-record aan op `selector._domainkey.jouwdomein.com` met de publieke sleutel. De selector is een label (zoals `fl1` of `mail`) dat identificeert welke sleutel te gebruiken. 3. **Controleer of het record is gepropageerd.** DNS-wijzigingen kunnen tot 48 uur duren, hoewel de meeste binnen een uur propageren. Gebruik een DKIM-opzoektool om te bevestigen dat het record zichtbaar is. 4. **Stuur een test-e-mail.** Stuur een e-mail vanaf het geconfigureerde domein en controleer de headers op `dkim=pass` in de Authentication-Results header. 5. **Monitor doorlopend.** Stel [DMARC](/glossary/dmarc)-rapportage in om waarschuwingen te ontvangen als DKIM-validatie begint te falen, wat kan wijzen op DNS-misconfiguratie of ongeautoriseerde afzenders.

DKIM beschermt tegen twee specifieke bedreigingen: **e-mailspoofing** (iemand die e-mails verstuurt die lijken te komen van jouw domein) en **berichtmanipulatie** (iemand die de e-mailinhoud wijzigt nadat deze je server heeft verlaten). DKIM alleen is echter geen complete beveiligingsoplossing. **Wat DKIM wel beschermt:** - Verifieert dat de e-mail is verzonden door een geautoriseerde server voor dat domein - Bevestigt dat de ondertekende headers en body niet zijn gewijzigd tijdens transport - Biedt een basis voor [DMARC](/glossary/dmarc)-beleidshandhaving **Wat DKIM niet beschermt:** - Versleutelt de e-mailinhoud niet (gebruik daarvoor TLS) - Verifieert niet de identiteit van de individuele afzender, alleen het domein - Voorkomt niet dat jouw domein spam ontvangt — het helpt alleen dat je uitgaande mail als betrouwbaar wordt beschouwd **Sleutelrotatie** is een belangrijke maar vaak over het hoofd geziene praktijk. Als je DKIM-privésleutel wordt gecompromitteerd, kan een aanvaller e-mails ondertekenen als jouw domein. Roteer je DKIM-sleutels periodiek (elke 6–12 maanden) en werk het DNS-record bij met de nieuwe publieke sleutel voordat je de oude buiten gebruik stelt.

Een DKIM-handtekening wordt als `DKIM-Signature`-header toegevoegd aan elke uitgaande e-mail. Deze header bevat verschillende velden: - **v** — Versie (altijd `1`) - **a** — Ondertekeningsalgoritme (doorgaans `rsa-sha256`) - **d** — Het ondertekende domein - **s** — De selector om de publieke sleutel op te zoeken in DNS - **h** — Lijst van headers opgenomen in de handtekening (bijv. `from:to:subject:date`) - **bh** — Hash van de e-mailbody - **b** — De daadwerkelijke cryptografische handtekening De ontvangende server extraheert de `d`- en `s`-waarden, bevraagt DNS voor `s._domainkey.d`, haalt de publieke sleutel op en verifieert de handtekening tegen de ondertekende headers en body-hash. Als alles overeenkomt, slaagt de DKIM-controle. DKIM ondersteunt sleutellengtes van 1024 bits en 2048 bits. Hoewel 1024-bit sleutels nog steeds gangbaar zijn, worden 2048-bit sleutels aanbevolen voor sterkere beveiliging. Sommige DNS-providers hebben een limiet van 255 tekens voor TXT-records, waardoor langere 2048-bit sleutels moeten worden opgesplitst over meerdere strings binnen één TXT-record.