DKIM fußt auf einem geheimen und einem öffentlichen Kryptographie-Schlüsselpaar. Den geheimen Schlüssel kennt nur der legitime ESP, der öffentliche Schlüssel ist über einen Eintrag im DNS zur Absenderdomain jedem zugänglich. Das Prinzip: Für ausgehende E-Mails berechnet der ESP mit dem geheimen Schlüssel eine eindeutige Prüfsumme (Hash ) über bestimmte Inhaltsbereiche der Nachricht; diese Prüfsumme wird im Header als weitere Kopfzeile "DKIM-Signature" vermerkt (Signatur ). Bei Empfang der E-Mail lässt sich anhand eines Vergleichs der Signatur-Prüfsumme mit der Prüfsumme, die der öffentliche Schlüssel liefert, nachvollziehen, ob die Nachricht aus einer berechtigten Quelle stammt und ob sie unversehrt ist. Für Teilnehmer an der CSA Whitelist besteht seit dem 10. Juni 2014 die Pflicht, Nachrichten gemäß DKIM zu signieren.