Hvordan virker DKIM?
Jeres mailserver signerer udvalgte dele af e-mailen (typisk afsender, emne og brødtekst) med en privat nøgle. Den offentlige modpart publiceres som en DNS-record på jeres domæne. Modtageren henter den offentlige nøgle, verificerer signaturen og ved derefter to ting med sikkerhed: mailen er afsendt af en server med adgang til jeres private nøgle, og indholdet er intakt.
I modsætning til SPF overlever DKIM normalt videresendelse — signaturen følger med mailen, uanset hvilken vej den tager.
Hvorfor DKIM alene ikke er nok
DKIM beviser, at en signatur er gyldig — men ikke at signaturdomænet matcher det afsenderdomæne, modtageren ser. En angriber kan signere med sit eget domæne og stadig vise jeres i “Fra”-feltet. Det er først DMARC, der kræver dette match (kaldet alignment) og fortæller modtageren, hvad der skal ske, når det fejler.
Tænk på det sådan: SPF og DKIM er beviserne, DMARC er dommeren.
Det skal I være opmærksomme på i praksis
DKIM-nøgler bør være mindst 2048 bit — ældre 1024-bit-nøgler regnes ikke længere for sikre. Nøgler skal roteres med passende mellemrum, og hver tjeneste, der sender for jer (Microsoft 365, nyhedsbrevssystem, CRM), skal have sin egen DKIM-opsætning med eget selector-navn. En glemt tjeneste uden DKIM bliver det svage led, den dag I strammer jeres DMARC-politik.