Terug naar 'Betekenissen'Wat is DKIM2?
Laatst bijgewerkt:
E-mailbeveiliging staat niet stil, en gelukkig maar. Na bijna 20 jaar krijgt DKIM een grote update genaamd DKIM2. Deze nieuwe standaard in mail beveiliging pakt problemen aan die in de afgelopen jaren zijn ontstaan en maakt e-mail nog veiliger. Vooral voor doorgestuurde berichten en mailinglijsten brengt DKIM2 grote verbeteringen.
We schreven eerder het artikel 'Wat is DKIM'. Hierin vertellen we precies wat de huidige DKIM1 is en wat het doet voor de beveiliging van e-mails. We raden aan om eerst dat artikel te lezen om de stap naar DKIM2 wat makkelijker te maken.
Wat is DKIM2
DKIM2 is de tweede versie van DomainKeys Identified Mail en is momenteel in ontwikkeling.
Waar DKIM (nu DKIM1 genoemd) bewijst dat een e-mail van een bepaald domein komt, gaat DKIM2 een stap verder. Het documenteert de hele route die een e-mail aflegt van verzender tot ontvanger. Elke mailserver die de e-mail behandelt, voegt een eigen handtekening toe. Zo zie je precies welke systemen de e-mail hebben verwerkt.
Voorbeeld
Met DKIM1 kan dit soms voor onduidelijkheid zorgen: bij het doorsturen wordt er automatisch een regel toegevoegd zoals "Doorgestuurd door Jan de Vries". Door die ene extra regel klopt de DKIM-beveiliging niet meer helemaal. De e-mail komt meestal wel aan, maar de mailserver van de ontvanger kan niet meer controleren of de inhoud ongewijzigd is.
Met DKIM2 werkt het anders. Wanneer jouw mailserver de orderbevestiging verstuurt, voegt deze een DKIM2-handtekening toe. Wanneer de klant de e-mail doorstuurt, voegt zijn mailserver een eigen handtekening toe én legt vast welke wijziging er is gemaakt (die ene regel "Doorgestuurd door..."). De mailserver van de boekhouder kan nu precies zien:
- De e-mail komt echt van jouw webshop (eerste handtekening)
- De klant heeft de e-mail doorgestuurd (tweede handtekening)
- Er zijn geen wijzigingen gedaan in de originele e-mail
Op deze manier kan de mailprovider van de ontvanger zien dat de originele e-mail niet gewijzigd is.
Waarom komt DKIM2 er
In 2007, toen DKIM werd geïntroduceerd, zag e-mail er heel anders uit. We verstuurden vooral e-mails rechtstreeks naar één ontvanger. Vandaag de dag ontvang je orderbevestigingen van webshops, nieuwsbrieven van bedrijven en wachtwoord-reset e-mails van applicaties. Kortom: we gebruiken e-mail uitgebreider dan ooit.
Cybercriminelen zijn ondertussen ook niet stil blijven zitten. Waar ze 20 jaar geleden vooral simpele e-mails stuurden, gebruiken ze nu geavanceerde technieken om bestaande beveiligingen - zoals DKIM - te omzeilen.
Huidige problemen van DKIM1
DKIM1 werkt goed, maar heeft een aantal zwakke plekken die in de praktijk voor problemen zorgen:
Doorgestuurde e-mails
Wanneer een e-mail wordt doorgestuurd en er iets wijzigt (zoals een disclaimer of afmeldlink), gaat de DKIM1-beveiliging kapot. De e-mail komt meestal wel aan, maar mailservers kunnen niet meer controleren of de inhoud ongewijzigd is. DKIM2 houdt bij welke wijzigingen er zijn gemaakt, zodat dit wel controleerbaar blijft.
Oude e-mails opnieuw versturen (Replay Attack)
DKIM1 heeft geen tijdstempel. Dat betekent dat een cybercrimineel een oude e-mail opnieuw kan versturen en mailservers deze accepteren omdat de beveiliging nog steeds klopt. Dit wordt Replay Attack genoemd.
Voorbeeld: een webshop stuurt je een e-mail met een kortingscode. Een kwaadwillende kan diezelfde e-mail maanden later opnieuw versturen naar duizenden mensen. DKIM2 voegt een tijdstempel toe, waardoor mailservers kunnen zien dat een e-mail te oud is om nog geldig te zijn.
Dit zien we vooral rondom Black Friday en de drukke feestdagen wanneer webshops massaal kortingscodes versturen. Cybercriminelen verzamelen deze e-mails en sturen ze later opnieuw uit.
Foutmeldingen bij de verkeerde persoon (Backscatter)
Wanneer een e-mail niet afgeleverd kan worden, krijgt de afzender normaal een bounce-melding. Cybercriminelen maken hier misbruik van door jouw e-mailadres te gebruiken als afzender van spam. Alle foutmeldingen komen dan bij jou terecht, terwijl jij die e-mails nooit hebt verstuurd. Dit heet backscatter.
DKIM2 lost dit op door foutmeldingen terug te sturen naar de mailserver die de e-mail daadwerkelijk heeft verzonden, in plaats van naar het e-mailadres dat in de afzender staat.
Het verschil tussen DKIM en DKIM2
DKIM2 bouwt voort op DKIM1, maar lost een aantal belangrijke problemen op. In de tabel hieronder zie je de belangrijkste verschillen op een rij:
| Functie | DKIM1 | DKIM2 |
|---|---|---|
| Basis handtekening (verzender) | Ja | Ja |
| Tijdstempel | Nee | Ja |
| Ontvanger-informatie | Nee | Ja |
| Wijzigingen bijhouden | Nee | Ja |
| Meerdere handtekeningen | Ja, maar beperkt | Ja, volledig |
| Backscatter beveiliging | Nee | Ja |
| Replay Attack beveiliging | Nee | Ja |
Met handtekeningen worden digitale beveiligingscodes bedoeld die automatisch door mailservers worden toegevoegd. Dit heeft niks te maken met de handtekening die je zelf onderaan je e-mails zet.
Wanneer komt DKIM2 beschikbaar?
DKIM2 is op dit moment nog in ontwikkeling bij de IETF (Internet Engineering Task Force). Dit is de organisatie die internetstandaarden vaststelt. De specificaties worden momenteel uitgewerkt en getest.
Een definitieve datum voor de uitrol is er nog niet. Nieuwe e-mailstandaarden duren vaak jaren voordat ze breed worden ondersteund. Denk aan DMARC: die standaard werd in 2012 geïntroduceerd, maar pas jaren later echt breed gebruikt door grote mailproviders.
Verwacht wordt dat DKIM2 geleidelijk zal worden uitgerold. Grote mailproviders zoals Gmail, Outlook en Yahoo zullen waarschijnlijk als eerste ondersteuning toevoegen. Daarna volgen e-mailserviceproviders zoals Lettermint. Voor gebruikers verandert er weinig: de overstap gebeurt grotendeels automatisch.
Heb ik hier ook wat aan?
DKIM2 brengt voordelen voor iedereen die e-mail gebruikt. Of je nu e-mails verstuurt of ontvangt, de verbeterde beveiliging zorgt voor minder problemen.
Voor verzenders
Je e-mails komen aan zoals bedoeld, ook als ontvangers ze doorsturen. Dit geldt ook voor e-mails vanaf verschillende subdomeinen. Cybercriminelen kunnen niet langer oude e-mails van jouw domein opnieuw versturen of jouw adres misbruiken zonder dat dit opval
Voor ontvangers
Je bent beter beschermd tegen valse e-mails. Mailservers kunnen precies zien welke route een e-mail heeft afgelegd en of er onderweg iets is aangepast. Ook worden oude e-mails die opnieuw worden verstuurd automatisch herkend.
Conclusie
DKIM2 is de volgende stap in e-mailbeveiliging. Waar DKIM1 vooral bewijst dat een e-mail van jouw domein komt, documenteert DKIM2 de hele route die een e-mail aflegt. Doorgestuurde berichten blijven betrouwbaar, oude e-mails kunnen niet opnieuw worden verstuurd en cybercriminelen kunnen jouw domein niet meer zo makkelijk misbruiken.
DKIM2 is momenteel nog in ontwikkeling. Bij Lettermint volgen we deze ontwikkelingen op de voet en nemen de nieuwe standaard in gebruik zodra deze beschikbaar komt.
Wat je nu al kunt doen: zorg dat je DKIM, SPF en DMARC correct zijn ingesteld. Dan ben je klaar voor wanneer DKIM2 beschikbaar komt.