Tijdens het opzetten van mijn Exchange Server 2025 omgeving op Windows Server 2025 liep ik tegen iets aan wat veel beheerders waarschijnlijk herkennen: standaard ondersteunt Exchange Server geen DKIM signing. SPF is relatief eenvoudig in te stellen via DNS, maar voor DKIM en DMARC heb je extra tooling nodig.
Omdat ik mijn mailomgeving beter wilde beveiligen en betrouwbaarder wilde maken voor externe mailservers, ben ik aan de slag gegaan met Exchange DKIM Signer.
Waarom DKIM en DMARC?
DKIM zorgt ervoor dat uitgaande e-mails digitaal ondertekend worden. Ontvangende mailservers kunnen daarmee controleren of een bericht daadwerkelijk vanaf jouw domein verzonden is en onderweg niet aangepast is.
DMARC bouwt hier verder op voort door regels te geven over hoe mailservers moeten omgaan met berichten die SPF of DKIM controles niet halen.
Samen helpen deze technieken om spoofing en phishing tegen te gaan en verbeteren ze vaak ook de afleverbaarheid van e-mail.
Exchange DKIM Signer installeren
Voor Exchange Server 2025 op Windows Server 2025 heb ik gebruikgemaakt van Exchange DKIM Signer. De installatie is relatief eenvoudig, maar let er wel op dat je de meest recente Cumulative Update van Exchange gebruikt.
Tijdens de installatie worden de Exchange Transport Services kort herstart. Plan dit daarom bij voorkeur buiten drukke uren.
Na installatie open je:
C:\Program Files\Exchange DkimSigner\
Start vervolgens:
Configuration.DkimSigner.exe
Transport Agent configureren
Binnen het tabblad Information klik je op Configure. Vervolgens zet je de Exchange DkimSigner agent op Priority 1 met behulp van de knop Move Up.
Daarna kun je binnen de DKIM instellingen kiezen voor:
- RsaSha256
- Header canonicalization: Relaxed
- Body canonicalization: Relaxed
Domeinen toevoegen
Binnen Domain Settings voeg je vervolgens je accepted domains toe. Daarna kun je nieuwe DKIM keys genereren of bestaande keys selecteren.
De tool genereert automatisch het benodigde DNS record dat je vervolgens als TXT record toevoegt binnen het DNS beheer van je provider.
Gebruik daarna de ingebouwde “Check” functie om te controleren of het record correct zichtbaar is.
DMARC record toevoegen
Naast DKIM heb ik ook direct een DMARC record toegevoegd aan DNS.
Een eenvoudige basisconfiguratie is:
v=DMARC1; p=quarantine; pct=50;
Wil je rapportages ontvangen dan kun je een uitgebreidere configuratie gebruiken:
v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; pct=50;
Na verloop van tijd kun je het percentage verhogen en eventueel overstappen van:
p=quarantine
naar:
p=reject
wanneer je zeker weet dat alles correct functioneert.
Transport service herstarten
Als laatste stap heb ik via het tabblad Information de Exchange Transport Service opnieuw gestart zodat alle wijzigingen correct actief werden.
Conclusie
Hoewel DKIM en DMARC helaas niet standaard aanwezig zijn binnen Exchange Server 2025, is het met Exchange DKIM Signer gelukkig goed op te lossen. De installatie is relatief eenvoudig en levert direct betere mailbeveiliging en betrouwbaardere e-mailaflevering op.
Voor iedereen die nog een eigen Exchange omgeving draait op Windows Server 2025 vind ik DKIM en DMARC inmiddels eigenlijk onmisbaar geworden.
