Het derde deel van deze reeks over het belang van DNS-records bij e-mail behandelt DomainKeys Identified Mail (DKIM).

DomainKeys Identified Mail (DKIM) zorgt ervoor dat e-mails onderweg niet kunnen worden aangepast.

Naar analogie met de briefpost uit het eerste artikel in deze reeks, zorgt DKIM ervoor dat de postbode (of iemand die uw brief uit de brievenbus heeft gevist) het rekeningnummer op uw factuur niet kan aanpassen naar dat van zichzelf. De technologie valt te vergelijken met de wassen stempels van weleer.

DomainKeys Identified Mail (DKIM)

DKIM (DomainKeys Identified Mail) is een standaard voor e-mailbeveiliging die ervoor moet zorgen dat berichten op het pad tussen de verzendende en de ontvangende e-mailserver niet worden gewijzigd.

Hierbij wordt bij verzending gebruik gemaakt van cryptografische methodes om e-mails te ondertekenen met een digitale sleutel. De ontvangende server gebruikt vervolgens een openbare sleutel die in de DNS-records van een domeinnaam is gepubliceerd om de bron van het bericht te verifiëren en om na te gaan of de inhoud van het bericht tijdens het transport niet is gewijzigd. Zodra de handtekening door de ontvangende server met de openbare sleutel is geverifieerd, voldoet het bericht aan DKIM en wordt het als authentiek beschouwd.

E-mails die niet voldoen aan DKIM kunnen door de ontvangende e-mailserver als ‘minder legitiem’ worden beschouwd en worden soms rechtstreeks naar de spam-box verplaatst. Het toepassen van DKIM zorgt er dus voor dat uw e-mails meer legitimiteit krijgen en minder vaak als spam worden aanzien.

Om DKIM op te zetten zal u een private sleutel moeten voorzien voor het ondertekenen van e-mails verstuurd vanuit uw organisatie. De daaraan gelinkte publieke sleutel maakt u publiek beschikbaar via een DNS-record. Ook externe services die e-mails versturen in uw naam (bv. ERP-pakket of applicaties gebruikt voor versturen van nieuwsbrieven), kunnen u vragen om hun publieke sleutel aan uw DNS-records toe te voegen. Zij ondertekenen de uitgaande e-mails met hun eigen private sleutel en de ontvanger kan de e-mails verifiëren via de sleutel die u publiek hebt gedeeld.

Structuur DKIM-record

Net zoals het SPF-record, volgt het DKIM-record een vaste structuur. We gebruiken het DKIM-record van clipeum’s ERP-pakket als voorbeeld:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0dfHQ6dV083tb/mJjIPrI1146KT0DyZuqmKTt1wSsL4s/aeMGE80pQAl8d46x85o9RHbleYMxjHzHnR3Dk9+CAmRPNnKqN/txOgTMzY7g+GTGwWA7PFukcATqUHSjdue6HqJnp8XmyWHmvlx1gcpxZduO52vO84tScoE6IKg4OwIDAQAB

• v=DKIM1

De gebruikte versie van de DKIM-standaard, hier versie 1.

• k=rsa

De cryptografische methode gebruikt voor het creëren van de sleutels.

• p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0dfHQ6dV083tb/mJjIPrI1146KT0DyZuqmKTt1wSsL4s/aeMGE80pQAl8d46x85o9RHbleYMxjHzHnR3Dk9+CAmRPNnKqN/txOgTMzY7g+GTGwWA7PFukcATqUHSjdue6HqJnp8XmyWHmvlx1gcpxZduO52vO84tScoE6IKg4OwIDAQAB

De publieke sleutel die gebruikt kan worden ter verificatie van de handtekening in de e-mail.

Wanneer het ERP-pakket een e-mail uitstuurt, zal in de e-mail headers (extra data die gebruikt wordt door e-mailservers) naast de digitale handtekening ook een verwijzing naar dit DKIM-record worden meegestuurd. Zo weet de ontvangende e-mailserver waar het op zoek moet gaan naar de publieke sleutel.

Hoe zet ik een DKIM-record op voor onze organisatie?

De implementatie van DKIM is afhankelijk van de manier waarop uw e-mailinfrastructuur is opgezet. Voor clouddiensten zoals Office365 en Google Mail, of voor on-premise oplossingen zoals Microsoft Exchange, is er tal van documentatie terug te vinden.

Omdat er aangeraden wordt om uw private en publieke sleutel regelmatig te vervangen, is het belangrijk om te zorgen voor automatisatie van het hele proces.

Conclusie

Met behulp van het DKIM-record kan een ontvangende mailserver verifiëren dat de e-mail niet werd aangepast. Omdat hiervoor gebruik gemaakt wordt van een digitale sleutel, kan deze technologie ook gebruikt worden om de uitsturende mailserver te helpen valideren.

Om uzelf volledig te beschermen, dient u niet enkel een DKIM-record op te zetten voor uw eigen e-mails, maar ook voor elke tool die in uw naam e-mails kan uitsturen (bv. facturen via ERP-pakket, tooling voor nieuwsbrieven, enz.).

Heeft u nog vragen over het nut van DKIM-records, of wenst u meer te weten over hoe u uw bedrijf bijkomend kan beschermen op het vlak van ICT-security? Neem vrijblijvend contact op en wij helpen u met plezier verder!

 

Stijn Crevits – 25/05/2021