Problemen met DKIM oplossen

Volg de stappen in dit artikel als u DomainKeys Identified Mail (DKIM) hebt ingesteld, maar berichten die vanaf uw domein worden verzonden nog steeds:

  • DKIM-authenticatie mislukt.
  • Afgewezen door de ontvangende servers
  • Verzonden naar de spammap van de ontvanger.

Op deze pagina

Meest voorkomende oplossingen

Zorg ervoor dat je een DKIM-record hebt.

Kijk of je een DKIM-record hebt:

  • Als je geen gebruik maakt van Google Workspace, gebruik dan een tool die je online kunt vinden.
  • Als je Google Workspace gebruikt , volg dan de stappen in dit gedeelte.

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Gmail .

    Hiervoor is beheerdersrechten voor de Gmail-instellingen vereist.

  2. Klik op E-mailadres verifiëren .
  3. Selecteer in het menu 'Geselecteerd domein' het domein waar u DKIM wilt instellen.
  4. Als de DNS-hostnaam en de TXT-recordwaarden leeg zijn, hebt u geen DKIM-record.

Om een ​​nieuw DKIM-record aan te maken, ga je naar Een DKIM-sleutelpaar genereren . Ga vervolgens naar Het DKIM-record aan je domein toevoegen (op deze pagina).

Voeg het DKIM-record toe aan uw domein.

Nadat u een DKIM-record hebt aangemaakt, moet u dit record (met de DKIM-sleutel) aan uw domein toevoegen.

  1. Meld u aan bij uw domeinhost.
  2. Ga naar de pagina waar je de DNS TXT-records voor je domein kunt bijwerken.
  3. Voeg uw DKIM-hostnaam en de aanbevolen waarde toe aan het TXT-record of werk dit bij.

Ga naar DKIM-sleutel toevoegen aan uw domein .

Authenticatiefouten corrigeren

Als je na het aanmaken van een DKIM-record en het toevoegen ervan aan je domein de foutmelding "Authenticatie mislukt" krijgt, moet je de configuratie voltooien.

Aanbevolen stap: Ga naar de pagina 'E-mail verifiëren' en klik op 'Verificatie starten '. Zie 'DKIM inschakelen en verifiëren' .

Controleer de waarden in uw DKIM-record.

Zorg ervoor dat uw DKIM-record de juiste hostnaam/TXT-recordnaam en TXT-recordwaarde/DKIM-sleutel bevat. Zie De DKIM-sleutel aan uw domein toevoegen .

Hoe ziet succes eruit?

Nadat u een DKIM-record hebt aangemaakt, dit aan uw domein hebt toegevoegd, eventuele authenticatiefouten hebt gecorrigeerd en hebt gecontroleerd of uw DKIM-record de juiste waarden bevat, zou uw DKIM-status "E-mail authenticeren met DKIM" moeten weergeven. Uw configuratie is voltooid.

Geavanceerde probleemoplossing

Controleer of berichten de DKIM-authenticatie doorstaan.

Je kunt in Gmail zien of een e-mail de DKIM-authenticatie heeft doorstaan.

Aanbevolen stappen:

  1. Open Gmail vanuit een browser.
  2. Open de e-mail waarvan je de headers wilt controleren.
  3. Naast antwoord Klik op Meer en dan Toon origineel .
    • In een nieuw venster wordt de volledige header weergegeven.
  4. Klik op 'Kopiëren naar klembord' .

Aanvullende stappen:

Controleer de DKIM-sleutel bij uw domeinprovider.

De meeste DKIM TXT-records kunnen maximaal 255 tekens bevatten. U kunt geen 2048-bits sleutel als één enkele tekstreeks invoeren met een TXT-recordlimiet van 255 tekens. Uw DKIM-sleutel kan worden afgekapt of uw DKIM-records kunnen in de verkeerde volgorde worden verzonden.

Aanbevolen stappen:

  • Als u de volledige waarde van uw DKIM TXT-record niet als één tekstreeks kunt invoeren, volg dan de stappen in ' Controleer de tekenlimieten van het TXT-record' .
  • Vergelijk de DKIM TXT-recordwaarde bij uw provider met de waarde in uw beheerdersconsole en controleer of uw DKIM-sleutel correct is.
    1. Haal de DKIM TXT-recordwaarde op uit de beheerdersconsole, bijvoorbeeld google._domainkey .
    2. Ga naar de Google Admin Toolbox en gebruik de Dig- tool.
    3. Klik op TXT .
    4. Voer de DKIM TXT-recordwaarde uit stap 1 in en voeg vervolgens een punt (.) en uw domeinnaam aan deze waarde toe.
    5. Vergelijk de resultaten met de waarde in uw beheerdersconsole. Als alle sleuteltekens aanwezig zijn en in de juiste volgorde staan, kan de DKIM-sleutel uit twee delen bestaan.

Controleer het doorsturen van berichten

Zelfs als DKIM correct is ingesteld voor uw domein, kunnen doorgestuurde berichten de DKIM-controle niet doorstaan. Dit kan het gevolg zijn van de manier waarop een mailserver berichten doorstuurt.

Aanbevolen stap voor e-mailverzenders:

  • Zorg ervoor dat het bericht niet is gewijzigd tijdens de overdracht. Zoek de header 'Authentication-results: '. Als de tekst naast de DKIM -vermelding 'body hash did not verify' is, is het bericht tijdens de overdracht gewijzigd.
  • Als u een uitgaande gateway gebruikt, zorg er dan voor dat deze de uitgaande berichten niet wijzigt voordat ze worden verzonden. Sommige uitgaande gateways voegen bijvoorbeeld een voettekst toe aan de onderkant van elk uitgaand bericht. Dit kan ertoe leiden dat DKIM mislukt, omdat de inhoud van het bericht wordt gewijzigd nadat het is verzonden.

Aanbevolen stappen voor e-mailontvangers:

  • Gebruik de zoekfunctie in het e-maillogboek om te controleren of het bericht is doorgestuurd. Als de persoon die het bericht als spam heeft gemeld niet de oorspronkelijke ontvanger is, is de kans groot dat het bericht is doorgestuurd.
  • Neem contact op met de dienst die het bericht heeft doorgestuurd om te vragen of ze hun doorstuurmethode kunnen aanpassen.

Zie ook: Beste werkwijzen voor het doorsturen van e-mail naar Gmail .

Controleer de tekenlimieten van het TXT-bestand.

Als je een foutmelding krijgt bij het invoeren van een DKIM-waarde, kan het zijn dat je domeinprovider het aantal toegestane tekens in het DNS TXT-record beperkt.

Aanbevolen stappen:

Als u een 2048-bits DKIM-sleutel gebruikt, kunt u deze niet als één enkele tekstreeks invoeren in een DNS-record met een limiet van 255 tekens. Volg in plaats daarvan deze stappen:

  1. Splits de belangrijkste tekens op in meerdere tekstreeksen.
  2. Plaats elke tekenreeks tussen aanhalingstekens.
  3. Voer de tekenreeksen één voor één in het veld 'Waarde' van het TXT-record bij uw domeinprovider in.

In dit voorbeeld wordt een lange DKIM-sleutel opgesplitst in twee tekstreeksen, waarbij elke reeks tussen aanhalingstekens staat:

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

Je kunt ook het volgende proberen:

  • Gebruik een 1024-bits sleutel door die optie te selecteren wanneer u een DKIM-sleutelpaar genereert .
  • Neem contact op met uw domeinhost om te achterhalen of TXT-records met meer dan 255 tekens worden ondersteund. Indien dit het geval is, kunt u uw DNS-record bijwerken met een 2048-bits DKIM-sleutel door de stappen in ' Een DKIM-sleutelpaar genereren' te volgen.

We raden aan om niet meer dan 49 TXT-records toe te voegen bij uw domeinprovider, aangezien dit het maximale aantal is dat door de meeste domeinproviders wordt ondersteund.

Controleer het aantal DKIM-handtekeningen.

Berichten kunnen met meer dan één DKIM-handtekening worden ondertekend. Gmail controleert echter alleen de eerste 5 handtekeningen die in de header 'Authentication-Results:' van het bericht worden vermeld. Gmail controleert de handtekeningen in de volgorde waarin ze in de header verschijnen. Als de authenticatiehandtekening niet een van de eerste 5 handtekeningen in de header is, mislukt de DKIM-authenticatie van het bericht. Dit kan er ook toe leiden dat het bericht niet aan de DMARC-vereisten voldoet.

Om de handtekeningen te verifiëren die Gmail voor een bericht controleert, bekijk je de header 'Authentication-Results:' in het bericht. Voor gedetailleerde instructies over het controleren van Gmail-berichtheaders ga je naar 'Een e-mail traceren met de volledige header' .

Evalueer uw e-mailverzendprocedures.

Als DKIM correct is ingesteld, maar berichten toch in de spamfolder terechtkomen, ligt de oorzaak mogelijk ergens anders dan bij DKIM.

Aanbevolen stap:

Neem contact op met de beheerders voor servers die DKIM-ondertekende berichten weigeren.

Zelfs als DKIM correct is ingesteld, kunnen ontvangende servers berichten die vanaf uw domein worden verzonden, nog steeds weigeren of in de spammap van de ontvangers plaatsen.

Aanbevolen stappen:

  • Neem contact op met de beheerder van de e-mailserver die de e-mail weigert.
  • Stel DMARC in zodat u rapporten ontvangt over de resultaten van DKIM-authenticatie. Ga naar DMARC instellen .
  • Als u DKIM instelt met een ander e-mailsysteem dan Google Workspace, gebruik dan niet de DKIM-lengtetag ( l= ) in uitgaande berichten. Berichten met deze tag zijn kwetsbaar voor misbruik. Lees meer in paragraaf 8.2 van RFC 6376.


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.