Naar hoofdinhoud

Wat is DKIM en hoe werkt het? Uitleg en instellen

Gepubliceerd op 3 juli 2026 8 min leestijd

DKIM ondertekent je uitgaande e-mail met een digitale handtekening. Lees wat DKIM is, hoe het werkt, hoe je het instelt en samenwerkt met SPF en DMARC.

Vlakke vectorillustratie: een verzonden e-mail met een amberkleurig zegel als digitale handtekening, die door een ontvangende server met sleutel en schild wordt gecontroleerd.

DKIM is een techniek die je uitgaande e-mail voorziet van een digitale handtekening. Ontvangende mailservers gebruiken die handtekening om te controleren of een bericht echt van jouw domein komt en onderweg niet is aangepast. In dit artikel lees je wat DKIM is, hoe het ondertekenen en verifiëren werkt, hoe je DKIM instelt en hoe het samenwerkt met SPF en DMARC.

Wat is DKIM?

DKIM staat voor DomainKeys Identified Mail. Het is een open standaard voor e-mailauthenticatie, vastgelegd in RFC 6376. Met DKIM ondertekent de verzendende mailserver elk uitgaand bericht met een geheime sleutel. De ontvanger controleert die handtekening met een openbare sleutel die jij als DKIM-record in je DNS publiceert.

Je kunt DKIM zien als een verzegelde envelop. De verzender drukt een zegel op de brief dat alleen hij kan maken. De ontvanger ziet aan het zegel dat de brief van de juiste afzender komt en dat niemand hem onderweg heeft geopend. Klopt het zegel niet, dan is er iets mis.

DKIM werkt met een sleutelpaar: een private sleutel die geheim blijft op de mailserver en een publieke sleutel die iedereen mag opvragen. Wat met de private sleutel is ondertekend, kun je alleen met de bijbehorende publieke sleutel verifiëren. Zo weet de ontvanger zeker dat de handtekening bij jouw domein hoort.

Waarom is DKIM belangrijk?

Zonder authenticatie kan iemand vrij eenvoudig e-mail versturen die lijkt te komen van jouw domein. Dat heet spoofing en het wordt veel gebruikt voor phishing en spam. DKIM maakt dat moeilijker, want een vervalser heeft jouw private sleutel niet en kan dus geen geldige handtekening zetten.

Een geldig DKIM-record verbetert ook je bezorgbaarheid. Mailservers van onder andere Gmail, Yahoo en Microsoft wegen authenticatie mee bij de vraag of een bericht in de inbox of in de spammap belandt. Berichten met een kloppende DKIM-handtekening worden vaker vertrouwd.

Sinds begin 2024 stellen Gmail en Yahoo DKIM zelfs verplicht voor afzenders die grote hoeveelheden e-mail versturen, ongeveer 5.000 berichten per dag of meer. Microsoft stelt sinds mei 2025 vergelijkbare eisen. Wie veel nieuwsbrieven of transactiemails verstuurt, ontkomt niet meer aan een correcte combinatie van SPF, DKIM en DMARC.

Hoe werkt DKIM?

DKIM heeft twee kanten: het ondertekenen aan de verzendkant en het verifiëren aan de ontvangstkant. Daartussen zit je DNS, waar de publieke sleutel staat.

Ondertekenen

Als jouw mailserver een bericht verstuurt, berekent hij vingerafdrukken (hashes) van de inhoud van het bericht en van een aantal koptekstvelden, zoals de afzender, het onderwerp en de datum. Die vingerafdrukken worden vervolgens met de private sleutel ondertekend.

De server voegt vervolgens een extra koptekst aan het bericht toe: de DKIM-Signature. Daarin staan onder andere het domein dat ondertekent (de tag d=), de gebruikte selector (de tag s=), de lijst met ondertekende velden (h=) en de handtekening zelf (b=). Deze koptekst reist met het bericht mee naar de ontvanger.

Verifiëren

De ontvangende mailserver leest de DKIM-Signature en ziet welk domein en welke selector zijn gebruikt. Daarmee doet hij een DNS-opvraging naar de publieke sleutel, op de naam selector._domainkey.jouwdomein.nl.

Met die publieke sleutel berekent de ontvanger dezelfde vingerafdrukken opnieuw en vergelijkt ze met de handtekening. Kloppen ze, dan is de DKIM-controle geslaagd (een pass): het bericht is authentiek en niet gewijzigd. Is de inhoud onderweg aangepast of ontbreekt de sleutel, dan mislukt de controle (een fail).

Hoe ziet een DKIM-record eruit?

De publieke sleutel publiceer je als TXT-record in je DNS. De naam van dat record bestaat uit een selector, gevolgd door _domainkey en je domein. Een record voor de selector default ziet er zo uit:

default._domainkey.jouwdomein.nl.  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQ...AB"

De belangrijkste onderdelen zijn:

  • v=DKIM1 geeft aan dat dit een DKIM-record is. Dit is optioneel, maar wordt aangeraden.
  • k=rsa is het type sleutel. RSA is verreweg het meest gebruikt.
  • p= bevat de publieke sleutel zelf, als lange reeks tekens in base64. De sleutel hierboven is ingekort. Een echte sleutel is veel langer.

Een selector is een label dat naar een specifieke sleutel wijst. Je mag meerdere selectors gebruiken, bijvoorbeeld een aparte selector per e-maildienst of om sleutels te vernieuwen zonder onderbreking. De naam van de selector kies je zelf, of je mailserver bepaalt hem.

Let op de lengte. Een publieke sleutel van 2048 bits is ongeveer 400 tekens lang, terwijl een tekstwaarde in een TXT-record maximaal 255 tekens per stukje mag zijn. Lange sleutels worden daarom in meerdere aan elkaar geplakte stukjes opgeslagen. De meeste DNS-beheerders doen dat automatisch.

DKIM instellen

Hoe je DKIM instelt, hangt af van waar je e-mail wordt verzorgd. De grote lijn is bij elke aanbieder hetzelfde:

  1. Zet DKIM aan bij de partij die je uitgaande e-mail verstuurt. Die genereert een sleutelpaar en kiest een selector.
  2. Publiceer de publieke sleutel als TXT-record in de DNS van je domein, op de naam selector._domainkey.jouwdomein.nl.
  3. Wacht tot het record is verspreid. Dat kan 24 tot 48 uur duren, afhankelijk van de TTL.
  4. Verstuur een testbericht en controleer in de ontvangen e-mail of DKIM slaagt.

Bij LJPc hosting draait e-mail op Plesk. Daar zet je DKIM per domein aan met een selectievakje in de mailinstellingen, bijvoorbeeld "Use DKIM spam protection system to sign outgoing email messages". Plesk maakt dan zelf het sleutelpaar aan en publiceert de publieke sleutel automatisch als TXT-record in je zone. Je hoeft de sleutel dus niet met de hand te plaatsen.

Beheer je de DNS van je domein bij een andere partij? Dan neem je het door Plesk gegenereerde TXT-record over in je eigen DNS-beheer. In het DNS-beheer van LJPc kun je TXT-records ook gewoon zelf toevoegen.

DKIM regelt alleen je uitgaande e-mail. Het staat los van je MX-record, dat juist bepaalt welke server e-mail voor jouw domein ontvangt. Allebei horen ze bij een complete e-mailconfiguratie, maar ze doen iets anders.

SPF, DKIM en DMARC samen

DKIM is een van de drie pijlers van moderne e-mailbeveiliging. De andere twee zijn SPF en DMARC. Ze vullen elkaar aan en werken het best samen.

  • SPF bepaalt welke servers namens jouw domein e-mail mogen versturen. Het controleert het envelopadres, niet de zichtbare afzender. Lees meer in ons artikel over het SPF-record.
  • DKIM zet een digitale handtekening op het bericht zelf. Die handtekening blijft geldig, ook als het bericht wordt doorgestuurd.
  • DMARC koppelt SPF en DKIM aan het zichtbare From-adres en vertelt ontvangers wat ze met verdachte e-mail moeten doen.

DMARC slaagt als SPF of DKIM slaagt en als het gecontroleerde domein overeenkomt met het domein in het zichtbare From-adres. Dat heet alignment. Omdat een DKIM-handtekening het doorsturen van e-mail overleeft en SPF dat vaak niet doet, is DKIM voor DMARC vaak de betrouwbaarste pijler.

Voor een goede bescherming stel je alle drie in: SPF, DKIM en DMARC. Elk record vangt iets op wat de andere twee missen.

Veelgemaakte fouten

Bij het instellen van DKIM gaan een paar dingen vaak mis. Deze tabel helpt je ze te herkennen en op te lossen.

Veelvoorkomende DKIM-problemen en hun oplossing
ProbleemOorzaakOplossing
DKIM mislukt na doorsturenEen tussenliggende server heeft het bericht aangepastVaak niet te voorkomen bij doorsturen. DMARC kijkt naar SPF en DKIM samen
Verkeerde selectorDe selector uit de handtekening bestaat niet in je DNSControleer dat het TXT-record op de juiste selector._domainkey-naam staat
Sleutel afgekaptDe lange publieke sleutel is niet volledig geplaatstPlaats de hele p=-waarde, eventueel in meerdere stukjes
Geen alignmentHet domein in d= komt niet overeen met het From-adresOnderteken met hetzelfde domein als in de zichtbare afzender

DKIM is niet ingewikkeld zodra je de opzet begrijpt: je mailserver ondertekent, je DNS bewaart de publieke sleutel en de ontvanger controleert. Samen met SPF en DMARC houd je je e-mail betrouwbaar en je domein beschermd. Kom je er niet uit? Neem contact op met support.

Veelgestelde vragen

Is DKIM verplicht?

Wettelijk niet, maar in de praktijk vaak wel. Gmail en Yahoo eisen sinds 2024 DKIM van afzenders die grote hoeveelheden e-mail versturen, en Microsoft doet dat sinds 2025. Ook voor kleinere afzenders verbetert DKIM de bezorgbaarheid en beperkt het misbruik van je domein. Instellen is daarom voor vrijwel iedereen verstandig.

Wat is een DKIM-selector?

Een selector is een label dat bij een specifieke publieke sleutel hoort. De ontvanger gebruikt de selector uit de handtekening om de juiste sleutel in je DNS te vinden, op de naam selector._domainkey.jouwdomein.nl. Doordat je meerdere selectors kunt gebruiken, kun je sleutels vernieuwen of meerdere diensten laten ondertekenen zonder dat ze elkaar in de weg zitten.

Kan ik meerdere DKIM-sleutels hebben?

Ja. Je mag meerdere DKIM-records publiceren, elk met een eigen selector. Dat is handig als verschillende diensten namens jouw domein e-mail versturen of als je een oude sleutel wilt vervangen door een nieuwe. Elke sleutel staat op zijn eigen selector._domainkey-naam.

Werkt DKIM ook bij doorgestuurde e-mail?

Meestal wel. Omdat de handtekening met het bericht meereist, blijft DKIM geldig zolang de inhoud niet verandert. Dat is een belangrijk verschil met SPF, dat bij doorsturen vaak faalt omdat de doorsturende server een ander IP-adres gebruikt. Past een tussenstation het bericht toch aan, dan kan de handtekening alsnog breken.

Wat is het verschil tussen SPF, DKIM en DMARC?

SPF bepaalt welke servers namens je domein mogen verzenden. DKIM ondertekent het bericht, zodat de ontvanger kan controleren dat het echt en ongewijzigd is. DMARC koppelt beide aan het zichtbare afzenderadres en bepaalt wat er met verdachte e-mail gebeurt. Samen vormen ze de basis van moderne e-mailbeveiliging.

Hoe controleer ik of DKIM werkt?

Stuur een testbericht naar een account dat je kunt openen, bijvoorbeeld bij Gmail. Bekijk daar de originele bron van het bericht en zoek in de kop Authentication-Results naar dkim=pass. Je kunt de publieke sleutel ook rechtstreeks opvragen met dig TXT selector._domainkey.jouwdomein.nl, of een online DKIM-controletool gebruiken.

Toch liever iemand spreken?

We geven je ook graag persoonlijk antwoord op je vragen. Plan een gratis adviesgesprek of bel ons direct. We denken graag met je mee.

Blijf op de hoogte van recente ontwikkelingen! Schrijf je in en ontvang onze nieuwsbrief Bezig met aanmelden... Bedankt voor je inschrijving! Er ging iets mis. Probeer het later opnieuw.