Gratis DKIM Checker
DKIM-record Checker
Controleer onmiddellijk uw DKIM-configuratie. Verifieer DKIM-records, selectoren, openbare sleutels, sleuteltypes, versies en vlaggen om een correcte e-mailauthenticatie te garanderen.
DKIM-recordSelectorOpenbare SleutelSleuteltypeVersieVlaggenHash-algoritmen
Essentieel voor het voorkomen van e-mailspoofing, het verbeteren van de inboxplaatsing en het waarborgen van een correct geconfigureerde e-mailauthenticatie van uw domein.
Valideer DKIM-record
Controleer het onbewerkte DKIM TXT-record en verifieer de structuur ervan.
Verifieer Selector
Bevestig dat de selector overeenkomt met de configuratie van uw e-mailprovider.
Inspecteer Openbare Sleutel
Bekijk de volledige RSA openbare sleutel en verifieer dat deze correct is gepubliceerd.
Controleer Sleuteltype & Versie
Verifieer de DKIM-versie en het cryptografische sleuteltype (bijv. RSA).
Wat kunt u controleren met deze DKIM-tool?
Deze DKIM-checker helpt u te valideren hoe uw domein uitgaande e-mails ondertekent. Het zoekt het DKIM-record op bij [selector]._domainkey.[domein] en toont de volledige DNS-configuratie.
DKIM (DomainKeys Identified Mail) is een essentiële e-mailauthenticatiestandaard die naast SPF en DMARC wordt gebruikt. Een ontbrekende, defecte of verkeerd geconfigureerde DKIM-installatie kan leiden tot spamfilters, afwijzing of kwetsbaarheden voor domeinvervalsing. Deze tool helpt u snel uw DKIM-configuratie te diagnosticeren en te herstellen.
DKIM-details die u kunt inspecteren
Onbewerkt Record
Toont het volledige DKIM TXT-record exact zoals gepubliceerd in DNS, inclusief de volledige tag-waarde-syntaxis.
Versie (v)
Toont de DKIM-versietag. Moet altijd DKIM1 zijn voor huidige DKIM-implementaties.
Sleuteltype (k)
Specificeert het cryptografische algoritme dat wordt gebruikt voor de openbare sleutel, typisch 'rsa' voor RSA-codering.
Openbare Sleutel (p)
De daadwerkelijke RSA openbare sleutel in base64-formaat die ontvangende servers gebruiken om DKIM-handtekeningen te verifiëren.
Wanneer moet u een DKIM-checker gebruiken?
- Na het configureren van e-mailverzenddiensten
- Wanneer e-mails als spam worden gemarkeerd
- Na DNS- of e-mailproviderwijzigingen
- Tijdens SPF/DKIM/DMARC-configuratie
- Bij het oplossen van problemen met e-mailbezorging
- Om te verifiëren of uw DKIM-openbare sleutel correct is
- Bij het rouleren of bijwerken van DKIM-sleutels
Veelgestelde vragen
DKIM (DomainKeys Identified Mail) is een e-mailauthenticatiemethode die cryptografische handtekeningen gebruikt om te verifiëren dat een e-mail is verzonden door een geautoriseerde server en niet is gewijzigd tijdens het transport. De verzendende server voegt een digitale handtekening toe aan de e-mailheader, en ontvangende servers valideren deze handtekening door de openbare sleutel in uw DNS op te zoeken.
DKIM verbetert de e-mailbezorgbaarheid doordat ontvangende servers de berichtauthenticiteit kunnen verifiëren en spoofing- en phishing-pogingen kunnen verminderen. Het helpt ook bij het opbouwen van de reputatie van de afzender en beschermt uw domein tegen misbruik in e-mailgebaseerde aanvallen. Veel e-mailproviders (Gmail, Outlook, Yahoo) gebruiken DKIM als een belangrijk signaal voor de inboxplaatsing.
Een selector is een naam die identificeert welke DKIM-sleutel in DNS wordt gebruikt. Het staat domeinen toe om meerdere DKIM-sleutels tegelijk actief te hebben, wat handig is voor sleutelrotatie en het beheren van verschillende e-mailproviders. De selector wordt opgenomen in de DKIM-handtekeningheader van uitgaande e-mails. Veelvoorkomende selectoren zijn 'default', 'google', 'selector1' (Microsoft 365) of datumspecifieke selectoren zoals '20230601'.
DKIM-records gebruiken tag-waarde-paren. v=DKIM1 is de versietag. k=rsa specificeert het sleuteltype (RSA-codering). p= bevat de daadwerkelijke openbare sleutel in base64-formaat. t= (vlaggen) kan 'y' bevatten voor testmodus. h= geeft een lijst van acceptabele hash-algoritmen. s= specificeert het servicetype. Elke tag biedt belangrijke configuratiedetails voor e-mailontvangers.
Als DKIM faalt, kunnen e-mails nog steeds worden afgeleverd, maar worden ze vaker als spam gemarkeerd of afgewezen, afhankelijk van uw DMARC-beleid. Met een strikt DMARC-beleid (p=reject) kan falende DKIM ervoor zorgen dat legitieme e-mails volledig worden afgewezen. Een DKIM-fout kan optreden door ontbrekende DNS-records, onjuiste selectoren, verlopen sleutels of e-mailinhoud die is gewijzigd na ondertekening.
Dit zijn drie complementaire e-mailauthenticatiestandaarden. SPF verifieert dat de verzendende server geautoriseerd is om e-mail voor het domein te verzenden. DKIM voegt een cryptografische handtekening toe om de integriteit en authenticiteit van de inhoud te verifiëren. DMARC bouwt voort op zowel SPF als DKIM en stelt u in staat een beleid te definiëren voor hoe ontvangende servers berichten moeten behandelen die de authenticatie niet doorstaan. Alle drie moeten samen worden geconfigureerd voor een sterke e-mailbeveiliging.
DKIM alleen is niet genoeg om inboxbezorging te garanderen. Veelvoorkomende redenen waarom e-mails toch in de spam belanden, ondanks dat DKIM is geconfigureerd, zijn: ontbrekende of verkeerd geconfigureerde SPF, strikte DMARC-beleidsregels die mislukken, een slechte reputatie van de afzender, een lage domeinleeftijd of de e-mailinhoud zelf die als verdacht wordt gemarkeerd. Gebruik deze checker om eerst DKIM-problemen uit te sluiten en controleer vervolgens uw SPF- en DMARC-configuratie.
Voer uw domeinnaam en DKIM-selector in de bovenstaande checker in. De tool voert een DNS TXT-lookup uit op [selector]._domainkey.[domein]. Als het record bestaat, ziet u het onbewerkte DKIM-record samen met geparseerde tags, inclusief versie, sleuteltype en openbare sleutel. U kunt ook e-mailheaders van een verzonden bericht inspecteren op 'Authentication-Results: dkim=pass'.
Uw DKIM-selector wordt verstrekt door uw e-mailserviceprovider. Veelvoorkomende standaardwaarden zijn 'default', 'google' (Google Workspace), 'selector1' of 'selector2' (Microsoft 365), of datumspecifieke selectoren zoals '20230601'. U kunt de selector ook vinden door de DKIM-handtekeningheader in een verzonden e-mail te inspecteren - zoek naar 's=' in de DKIM-Signature-header.
Ja. Sommige e-maildoorsturingsdiensten wijzigen de e-mailinhoud of -headers, wat de DKIM-handtekening ongeldig kan maken. Wanneer dit gebeurt, kan de doorgestuurde e-mail de DKIM-verificatie op de uiteindelijke bestemming niet doorstaan. Dit is een van de redenen waarom SPF- en DMARC-afstemming een uitdaging kan zijn bij doorsturingsscenario's. ASPF (Authenticated Received Chain) wordt ontwikkeld om dit probleem te helpen aanpakken.
Het standaard sleuteltype voor DKIM is 'rsa' (RSA-codering). RSA-sleutels van 2048 bits worden sterk aanbevolen voor goede beveiliging en vormen de huidige industriestandaard. 1024-bits sleutels zijn het minimum dat wordt ondersteund, maar worden als zwakker beschouwd. Sommige providers ondersteunen ed25519-sleutels, die betere beveiliging bieden met kleinere sleutelgroottes, maar de acceptatie is nog steeds beperkt.
Beveiligingsexperts raden aan om DKIM-sleutels elke 6-12 maanden te rouleren. Regelmatige rotatie vermindert beveiligingsrisico's en beperkt de blootstelling als een sleutel in gevaar komt. Bij het rouleren van sleutels gebruikt u een nieuwe selector, zodat zowel oude als nieuwe sleutels naast elkaar kunnen bestaan tijdens de overgangsperiode, waardoor authenticatieonderbrekingen worden voorkomen. Nadat u hebt bevestigd dat de nieuwe sleutel werkt, kunt u het oude record verwijderen.
Een DKIM-record is een TXT-record dat wordt toegevoegd aan de DNS van uw domein op [selector]._domainkey.uwdomein.com. Uw e-mailprovider genereert zowel de selectornaam als de waarde van de openbare sleutel. Het recordformaat is v=DKIM1; k=rsa; p=UW_OPENBARE_SLEUTEL. Veel providers (Google Workspace, Microsoft 365, SendGrid, Mailchimp) verzorgen de sleutelgeneratie automatisch en leveren de waarden die u in uw DNS moet publiceren.
DNS-wijzigingen worden doorgaans binnen enkele minuten tot enkele uren gepropageerd, afhankelijk van de TTL (Time To Live) die is ingesteld op uw DNS-records en uw DNS-provider. In de meeste gevallen kunt u binnen maximaal 24 tot 48 uur zichtbaarheid verwachten, hoewel dit in de praktijk vaak veel sneller gaat. Na propagatie zullen nieuw verzonden e-mails DKIM-handtekeningen bevatten.
Wanneer u een domein en selector invoert, voert de tool een DNS TXT-lookup uit op [selector]._domainkey.[domein]. Vervolgens toont het het onbewerkte DKIM-record en parseert het alle tag-waarde-paren, inclusief versie (v), sleuteltype (k), openbare sleutel (p), vlaggen (t), hash-algoritmen (h) en servicetype (s). Dit geeft u een compleet beeld van uw DKIM-configuratie, precies zoals e-mailontvangers deze zullen zien.
U moet uw DKIM-configuratie controleren wanneer u een nieuwe e-mailprovider instelt, problemen met de bezorgbaarheid opmerkt, na DNS-wijzigingen of als onderdeel van regelmatige beveiligingsaudits. Periodieke controles om de 3-6 maanden helpen ervoor te zorgen dat uw sleutels niet zijn verlopen en uw configuratie geldig blijft, vooral omdat sommige providers sleutels automatisch rouleren.
Ja, deze DKIM-checker is volledig gratis. Voer elk domein en elke selector in om uw DKIM-configuratie onmiddellijk te valideren, zonder dat u een account nodig heeft of zich hoeft aan te melden.
