DKIM-setupgids: complete stap-voor-stap configuratie
Stel DKIM in binnen 20 minuten: vind je selector, genereer sleutels, plaats DNS-records. Gratis validator. Verplicht voor Gmail en Yahoo.
Wat is DKIM en waarom is het cruciaal#
DKIM (DomainKeys Identified Mail) is een digitale handtekening voor je e-mails. Het bewijst dat een e-mail die beweert van jouw domein te komen ook daadwerkelijk uit jouw mailbox komt — en niet van een aanvaller die ergens anders heeft ingebroken.
In februari 2026: Gmail en Yahoo verplichten DKIM voor e-mailbezorging. E-mails zonder DKIM worden geweigerd.
Deze gids leidt je in 20 minuten door de DKIM-setup.
Hoe DKIM werkt#
DKIM gebruikt cryptografie met publieke/private sleutels:
- Je mailserver ondertekent uitgaande e-mails met een private sleutel (geheim)
- De handtekening wordt toegevoegd aan elke e-mailheader
- Ontvangers verifiëren de handtekening met je publieke sleutel (in DNS)
- Als de handtekening valideert: De e-mail is niet gemanipuleerd ✅
- Als de handtekening faalt: De e-mail is vervalst of gewijzigd ❌
DKIM-selectors begrijpen#
Hier raken de meeste mensen in de war.
DKIM-records leven op een specifieke DNS-locatie: [selector]._domainkey.jouwdomein.com
Voorbeelden:
default._domainkey.jouwdomein.comgoogle._domainkey.jouwdomein.coms1._domainkey.jouwdomein.comsendgrid._domainkey.jouwdomein.com
De selector is gewoon een label. Je e-mailprovider kiest het. Veelvoorkomende selectors:
| Service | Selector |
|---|---|
| Google Workspace | google, default |
| Microsoft 365 | selector1, selector2 |
| SendGrid | default, sendgrid |
| Mailgun | default, k1 |
| Zoho | s1, s2, s3 |
Je kunt de selector niet raden. Je moet hem opzoeken in de setup-instructies van je e-mailprovider.
Stap 1: Vind je DKIM-selector#
Voor Google Workspace:
- Ga naar admin.google.com
- Navigeer naar Security → Authentication → Domain management
- Vind de DKIM-selector (meestal "google" of "default")
Voor Microsoft 365:
- Ga naar admin.microsoft.com
- Navigeer naar Settings → Domains
- Vind de DKIM-sectie (meestal "selector1")
Voor SendGrid:
- Ga naar SendGrid-instellingen
- Vind API-keys en DKIM-config
- De selector is meestal "default" of "sendgrid"
Voor Mailgun:
- Ga naar het Mailgun-dashboard
- Vind Domain settings
- De selector staat in de DKIM-configuratie
Geen externe service in gebruik? Dan zit je op je eigen mailserver. Neem contact op met je hostingprovider voor de DKIM-selector.
Stap 2: Genereer of haal de DKIM-publieke sleutel op#
Je e-mailprovider genereert een publieke sleutel. Jij maakt hem niet — zij maken hem, jij kopieert hem.
De sleutel ziet er zo uit:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdjqFtUGxC...
Waar je hem vindt:
- Google Workspace: Kopieer uit de admin-console
- Microsoft 365: Kopieer uit het Exchange admin center
- SendGrid: Dashboard → DKIM-instellingen
- Mailgun: Domain settings → DKIM
- Andere providers: Check hun documentatie
Stap 3: Publiceer het DKIM-record in DNS#
Zodra je de publieke sleutel hebt, voeg je hem toe aan DNS:
- Ga naar je DNS-provider (Cloudflare, Route 53, GoDaddy, enz.)
- Voeg een TXT-record toe met:
- Naam:
[selector]._domainkey(bijv.google._domainkey) - Waarde: De publieke sleutel uit stap 2
- TTL: 3600 (of standaard)
- Naam:
- Sla op en wacht 5-15 minuten
Stap 4: Test de DKIM-configuratie#
Gebruik deze gratis tools om te verifiëren:
Optie 1: Nova Uptime Email Health Checker
- Ga naar /tools/email-health
- Voer je domein in
- Controleer de DKIM-status
Optie 2: MXToolbox
- Ga naar mxtoolbox.com
- Gebruik de DKIM-checker
- Voer selector en domein in
Optie 3: Mail-tester
- Ga naar mail-tester.com
- Stuur een test-e-mail vanaf je domein
- Controleer de DKIM-handtekening in de headers
Veelgemaakte DKIM-fouten#
Fout 1: Verkeerde selector#
Als je mailserver tekent met selector google maar DNS heeft selector default, faalt de DKIM-validatie.
Fix: Verifieer dat de selector exact overeenkomt met wat je mailserver gebruikt.
Fout 2: Publieke sleutel afgekapt in DNS#
Sommige DNS-providers kappen lange TXT-records af. Als de publieke sleutel wordt afgekapt, faalt DKIM.
Fix: Gebruik een DNS-provider die TXT-records van volledige lengte ondersteunt, of split de sleutel met aanhalingstekens.
Fout 3: Meerdere DKIM-records (oud vs nieuw)#
Bij het migreren van e-mailproviders kun je oude DKIM-sleutels nog in DNS hebben staan.
Goed: Meerdere selectors van verschillende providers
google._domainkey → Google's publieke sleutel
s1._domainkey → SendGrid's publieke sleutel
Slecht: Meerdere records voor dezelfde selector (DNS leest alleen de eerste)
Fix: Verwijder oude selectors, behoud alleen actieve.
Fout 4: Sleutels niet roteren#
Als je private sleutel gecompromitteerd is en je hem toch blijft gebruiken, kunnen aanvallers e-mails vervalsen.
Fix: Roteer sleutels minimaal jaarlijks. Schakel oude sleutels uit in DNS nadat je hebt bevestigd dat de nieuwe werken.
Fout 5: Zwakke sleutels gebruiken (1024-bit)#
DKIM-sleutels van 1024-bit zijn cryptografisch zwak. Aanvallers kunnen handtekeningen vervalsen.
Fix: Gebruik minimaal 2048-bit sleutels. Check bij je e-mailprovider wat ze ondersteunen.
Meerdere e-mailproviders? Dan heb je meerdere selectors nodig#
Als je zowel Google Workspace ALS SendGrid gebruikt:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3... → publiceer naar google._domainkey
v=DKIM1; k=rsa; p=... (anders) ... → publiceer naar sendgrid._domainkey
Beide werken onafhankelijk. E-mails van Google worden geverifieerd met Google's sleutel. E-mails van SendGrid worden geverifieerd met SendGrid's sleutel.
DKIM + SPF + DMARC#
DKIM is onderdeel van de authenticatie-drie-eenheid:
- SPF: "Is de server geautoriseerd?"
- DKIM: "Is het bericht authentiek?"
- DMARC: "Slagen beide en zijn ze uitgelijnd?"
Stel alle drie in. Nova Uptime controleert ze automatisch alle drie — doe je eerste e-mailgezondheidscheck.
Na publicatie: monitoring#
Week 1: Monitor e-mailbezorging, check de spamfolder Wekelijks: Gebruik de Nova Uptime Email Health Checker om de DKIM-status te verifiëren Maandelijks: Check of er geen oude selectors in DNS rondzwerven
Samenvatting#
- Vind je DKIM-selector (bij je e-mailprovider)
- Haal de publieke sleutel op (bij je e-mailprovider)
- Publiceer naar DNS op
[selector]._domainkey.jouwdomein.com - Test met verificatietools
- Wacht 1 week, monitor e-mailbezorging
- Houd records schoon (verwijder oude selectors)
DKIM is verplicht in 2026. Setup duurt 20 minuten. Het overslaan kost je omzet.
Monitor alle drie authenticatieprotocollen automatisch: Nova Uptime Email Health Checker. Gratis. 🚀
Verder lezen#
- DKIM Check & Setupgids — Uitgebreide DKIM-troubleshooting
- DKIM-selectordetectiegids — Vind en verifieer DKIM-selectors
- SPF-record setup- en checkgids — SPF-configuratie naast DKIM
- DMARC-setup: van None naar Reject — DMARC vereist DKIM-uitlijning
- Gids voor de Email Health Checker — Volledige authenticatie-audit
- Gratis DKIM Checker — Valideer je DKIM-record direct
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeGerelateerde artikelen
DKIM uitgelegd: wat het is, hoe het werkt en hoe je het opzet
Complete DKIM-gids — check je DKIM-record, begrijp selectors, genereer keys en fix authenticatiefouten. Inclusief gratis DKIM checker tool.
SPF, DKIM en DMARC: de complete gids voor e-mailauthenticatie
Gids voor de drie pijlers van e-mailauthenticatie. Hoe SPF, DKIM en DMARC samenwerken om je domein en inboxplaatsing te beschermen.
Hoe je SPF records opzet: stap-voor-stap gids
Zet SPF records stap voor stap op en controleer ze. Leer de SPF-syntax, test je record met een gratis SPF checker, los lookup limits op en voorkom email.