DKIM (DomainKeys Identified Mail) is de tweede pijler van e-mailauthenticatie. Waar SPF controleert welke servers namens je domein mogen verzenden, voegt DKIM een cryptografische handtekening toe aan elke uitgaande mail. De ontvangende server controleert die handtekening tegen een publieke sleutel die jij in je DNS publiceert.
Waarom DKIM belangrijk is
Zonder DKIM kan iemand je mail onderweg aanpassen of vervalsen zonder dat de ontvanger dat merkt. Met DKIM wordt elke mail ondertekend met een privésleutel die alleen Google kent. De bijbehorende publieke sleutel staat in je DNS. Klopt de handtekening, dan weet de ontvanger dat het bericht echt van jouw domein komt en niet is gewijzigd.
DKIM verbetert je afleverbaarheid en is een harde voorwaarde voor een werkend DMARC-beleid. Sinds februari 2024 eisen grote providers zoals Gmail en Yahoo dat bulkverzenders, partijen die ongeveer 5.000 of meer berichten per dag naar persoonlijke Gmail-accounts sturen, zowel SPF als DKIM correct hebben ingesteld plus een DMARC-record. Sinds eind 2025 handhaaft Gmail dit strenger en kunnen niet-conforme berichten tijdelijk of permanent geweigerd worden.
Standaard staat DKIM uit
Google Workspace ondertekent uitgaande mail pas met DKIM nadat je de sleutel hebt gegenereerd en geactiveerd. Tot die tijd gebruikt Google een generieke handtekening die niet op jouw domein staat. Stel DKIM dus altijd handmatig in.
DKIM-sleutel genereren in de Admin-console
De configuratie begint in de Google Admin-console onder Apps, Google Workspace, Gmail, E-mail verifiëren.
DKIM instellen stap voor stap
- Ga naar
admin.google.comen log in als beheerder. - Navigeer naar Apps, Google Workspace, Gmail, E-mail verifiëren.
- Selecteer bij Geselecteerd domein het domein waarvoor je DKIM wilt instellen.
- Kies bij sleutellengte 2048 bits (aanbevolen) als je registrar dat ondersteunt; val anders terug op 1024 bits.
- Laat het voorvoegsel (selector) op
googlestaan en klik op Nieuw record genereren. - Kopieer de DNS-hostnaam en de TXT-waarde uit de console.
- Voeg bij je registrar een TXT-record toe met die hostnaam (meestal
google._domainkey) en plak de waarde. - Wacht tot het record is uitgerold en klik daarna in de Admin-console op Authenticatie starten.
Het TXT-record bij je registrar
De hostnaam die Google geeft is meestal google._domainkey. De waarde begint met v=DKIM1; k=rsa; p= gevolgd door een lange reeks tekens. Sommige registrars knippen lange waarden af. Gebruik in dat geval de optie om de waarde in delen (chunks) te plakken, of schakel over op een 1024-bits sleutel als 2048 bits echt niet past.
Let erop dat je geen aanhalingstekens of spaties in de waarde meekopieert die er niet horen, en dat je alleen de hostnaam invult (google._domainkey), niet de volledige domeinnaam, tenzij je registrar dat expliciet vraagt.
Activeer pas na DNS-propagatie
Klik pas op Authenticatie starten nadat het DNS-record echt is uitgerold. Doe je dat te vroeg, dan geeft Google een foutmelding dat het record niet gevonden is. DNS-propagatie kan tot 48 uur duren, al is het meestal binnen een uur klaar.
Controleren of DKIM werkt
Stuur na activatie een testmail naar een Gmail-adres. Open het bericht, klik op de drie puntjes en kies Origineel weergeven. Bij DKIM moet PASS staan met jouw domeinnaam. Staat er niets of FAIL, controleer dan of het TXT-record exact klopt en of je de juiste hostnaam gebruikt. Een externe DKIM-checker laat zien wat er publiek in je DNS staat en helpt afgekapte of verkeerd geplakte waarden snel op te sporen.
Roteer je sleutel periodiek
Roteer je DKIM-sleutel periodiek, bijvoorbeeld jaarlijks. Een langere sleutel (2048 bits) is veiliger dan 1024 bits. Google ondersteunt sleutelrotatie waarbij je een nieuwe sleutel genereert en de oude pas verwijdert nadat de nieuwe actief is, zodat er geen onderbreking ontstaat.
Moet ik DKIM apart instellen per domein?
Ja. Heb je meerdere domeinen of domeinaliassen in je Workspace, dan genereer en activeer je voor elk domein een eigen DKIM-sleutel met een eigen TXT-record.
Werkt DKIM zonder SPF?
Technisch wel, maar je wilt beide. SPF en DKIM dekken samen meer scenario's af en zijn allebei nodig voor een betrouwbaar DMARC-beleid en goede afleverbaarheid. Voor bulkverzenders naar Gmail en Yahoo zijn beide sinds 2024 verplicht.
Waarom staat DKIM op FAIL na het instellen?
Meestal omdat het TXT-record nog niet is uitgerold, de hostnaam onjuist is, of de waarde bij het plakken is afgekapt. Controleer het record met een DKIM-checker en wacht eventueel langer op propagatie.
Welke sleutellengte kan ik het beste kiezen?
Kies 2048 bits als je registrar dat ondersteunt; dat is veiliger en de aanbeveling van Google. Past de lange waarde niet in je DNS, dan is 1024 bits een werkbaar alternatief totdat je registrar langere records aankan.
Kan ik de DKIM-selector zelf kiezen?
De standaard selector is google en dat is de aanbevolen waarde voor Workspace. Gebruik je dat voorvoegsel al voor een andere DKIM-sleutel, dan kun je in de console een afwijkend voorvoegsel opgeven, mits het bijbehorende TXT-record overeenkomt.