DKIM: het zegel op uw e-mail

DKIM: het zegel op uw e-mail

23-01-2018 13:45:38

Gemeenten in Nederland dienen eind 2017 verschillende internetstandaarden te hebben geïmplementeerd om hun e-mail beter te beveiligen. Dat schreef voormalig minister van Binnenlandse Zaken Ronald Plasterk naar aanleiding van Kamervragen in 2016 over slecht beveiligde e-mail van gemeenten.

Uit een steekproef in 2016 door het vakblad Binnenlands Bestuur bleek dat het slecht is gesteld met de beveiliging van e-mailsystemen binnen gemeenten. Van de 50 gemeenten die onderzocht waren voldeden slechts drie aan de verplichte beveiligingsstandaarden voor e-mail. In deze steekproef zijn de verschillende gemeenten gecontroleerd op de internetstandaarden DKIM, SPF en DMARC, die gelden voor de beveiliging van e-mailsystemen tegen phishing, spam en virussen.

Een zegel

Bij de internetstandaard DKIM, dat staat voor DomainKeys Identified Mail, maakt de verzendende server middels een ‘private key’ een cryptografische hash en voegt die toe aan de e-mail in de vorm van een zogeheten DKIM-header. Een soort van zegel op de e-mailenvelop.

Maar hoe werkt DKIM nu precies? De uitgaande en inkomende mailserver moet DKIM ondersteunen. Postfix, Exim en Microsoft Exchange ondersteunen dit protocol. Vervolgens moet er een public-private-keypair gegenereerd worden; een private key voor op de mailserver en een public key voor in het DNS. DKIM zet een ‘selector’ die in de header van de e-mail wordt meegestuurd. Deze selector geeft aan naar welk record in het DNS gekeken moet worden voor de public key. De hash in de e-mail is gezet door de private key op de verzendende mailserver. De inkomende mailserver controleert met behulp van de public key in het DNS of de hash bij de public key in het DNS past. 

Zoals eerder beschreven zorgt DKIM voor een soort verzegeling voor e-mail. DKIM toont aan dat er niet met een e-mail geknoeid is nadat de DKIM-header gezet is. De combinatie met SPF en DMARC zorgt ervoor dat de kans kleiner is dat malafide e-mail vanuit het door DKIM ondersteunde domein in inboxes terecht komt. Als verzender van e-mail vergroot je de kans dat bonafide e-mail vanuit je domein aankomt en dat malafide e-mail vanuit je domein geweigerd wordt.

DKIM-headers standaard geregeld bij BIT

DKIM wordt nog niet door alle mailproviders ondersteunt. Bij BIT voegen wij voor onze klanten standaard DKIM-headers toe aan uitgaande mail. Onze klanten voegen éénmalig de BIT DKIM public key toe aan het DNS van hun eigen domein. Met minimale inspanningen voldoen onze klanten hiermee aan het DKIM-protocol. 

Wilt u meer weten over DKIM?

Op internet.nl kunt u controleren of uw domein DKIM ondersteunt. Bovendien kunt u er ook direct kijken of uw e-mail en website aan de andere moderne en veilige internetstandaarden voldoen. Scoren uw e-mail en website net als BIT ook 100%? Neem bij vragen contact met ons op: 0318 648 688 of info@bit.nl. Wij helpen u graag op weg.

Internet.nl stelt ook 'how-to's' beschikbaar met praktische informatie die u kunnen helpen bij het implementeren van deze standaarden. Lees op de site van SIDN ook meer over de implementatie van SPF, DKIM en DMARC op de Postfix-mailserver.