Ctrl/Cmd + P om te printen
or save as PDF

Inrichten DKIM voor mail via eigen mailserver

Dit artikel beschrijft de stappen die noodzakelijk zijn om mail van TimEnterprise via een eigen mailserver te laten verzenden. Hiervoor moeten DNS records op de mailservers worden aangepast. Aangenomen wordt dan ook dat de lezer bekend is met de terminologie en werking van de records.

Voorbereidende acties

  • Kies een subdomeinnaam waarvan gemaild gaat worden. Dit kan per omgeving (productie, test, archief) een ander domein zijn. Geef dit domein door aan Aenova zodat wij het aan onze kant kunnen doorvoeren.
    • In de acties hieronder wordt ‘tim-mail.klant.nl’ gebruikt als voorbeeld voor het gekozen domain. Dit moet steeds worden aangepast naar het werkelijk gekozen domain.

Voor het gebruik van DKIM is een sleutelpaar noodzakelijk. In de regel wordt dit sleutelpaar door Aenova gegenereerd, aangezien de private key daar beschikbaar moet zijn.

  • Mocht er een organisatorische reden zijn om toch zelf een sleutelpaar te willen genereren, hou dan een sleutellengte van 2048 bits aan en stuur de private key naar Aenova. Gebruik hiervoor bijvoorbeeld een site als OneTimeSecret zodat de key niet ergens achterblijft.

Inrichting DNS records

  • Maak SPF record aan in DNS:
    • Naam: tim-mail.klant.nl
    • Type: TXT
    • Waarde: v=spf1 include:_spf.timenterprise.nl -all
  • Maak DKIM record met de selector timenterprise aan in DNS:
    • NB: Als er ook voor een testomgeving mail wordt ingesteld, gebruik daar dan bijvoorbeeld timenterprisetest en maak ook daar een record voor aan.
    • Naam: timenterprise._domainkey.tim-mail.klant.nl
    • Type: TXT
    • Waarde: v=DKIM1;t=s;h=sha256;k=rsa;s=email;p=INHOUD VAN DKIM.PUB
      • Bijvoorbeeld:
v=DKIM1;t=s;h=sha256;k=rsa;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3LNTYZzY7Ajx1EJCYby5D7OQD0kPEhndnI20QX1hiILY/QvFRnh4Kr7r5NJ4TJqit6aGyvMPbBHVwYOgrhloqB52M+BETiSGGWlIMW69QUwHATqmXgItlW8jiCAa8LfBzFxZJn/yR2IVQdDSVPkTGeV6w4YMKFN4i9x3A7Bbv+elgJuCULgqMgtzItDAZgN8CqGVpr2JdV7Gp0PgtiCNgqICowaIRf2sok8MJ8nv+loo3ZeZ7xEacAR0wpJaoajay9jAeI9FR7MzgDMJ1oLPmfiX1Uz3koCv/+8pZK0rT170LxPaUUAFMjgeZls+V9vDDEqhoT7o0LhsifL1DRY6zQIDAQAB
  • Maak DMARC record aan in DNS:
    • Naam: _dmarc.tim-mail.klant.nl
    • Type: TXT
    • Waarde: v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:EMAIL ADRES VOOR DMARC REPORTS
Toelichting op voorgestelde keuzes
  • In het SPF record voor tim-mail.klant.nl wordt -all gebruikt i.p.v. ~all omdat het domain alleen bedoeld is voor TimEnterprise, en dus alleen van de SaaS-omgeving afkomstig mag zijn.
  • In het DKIM record wordt SHA-256 afgedwongen. Sinds de publicatie van RFC 8301 is SHA-1 niet meer toegestaan.