Onze DKIM-key is nog 1024-bit, moeten we naar 2048?

1024-bit RSA voor DKIM is niet meer aanbevolen. Google en Yahoo accepteren het nog, maar grote ontvangers verlagen reputatie en beveiligingsaudits markeren het. 2048-bit is de praktijkstandaard en past nog steeds in een DNS TXT-record als je het correct splitst.

Probeer dit eerst zelf

1. 1Genereer in je mailplatform een nieuwe DKIM-key van 2048 bits met een nieuwe selector, bijvoorbeeld s2026 naast de bestaande s1.
2. 2Publiceer de nieuwe selector als TXT-record. Veel DNS-providers splitsen automatisch over de 255-tekenlimiet per string, maar verifieer met dig txt s2026._domainkey.jouwdomein.nl dat hij correct opbouwt.
3. 3Schakel in het mailplatform over op de nieuwe selector voor uitgaande signing. Laat de oude selector een paar dagen bestaan zodat e-mail die nog onderweg is geverifieerd kan worden door ontvangers.
4. 4Controleer met testtools zoals mail-tester.com, dkimvalidator.com of mxtoolbox dat de signature pass geeft.
5. 5Verwijder de oude selector na een week of twee. Daarna pas wordt de oude key echt afgesloten voor replay.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.