$\texttt{domeniul1.com}$ va avea un server de e-mail care trimite e-mailuri de ieșire pentru acel domeniu.
Daca este o DKIM Înregistrare DNS pentru $\texttt{domeniul1.com}$ care poate fi preluat de la a DNSSEC-activat server DNS, atunci un observator va putea prelua cheia publică DKIM pentru $\texttt{domeniul1.com}$ cu încredere că înregistrarea DNS le este raportată corect.
Dacă serverul de e-mail este configurat corect pentru DKIM, acesta va semna e-mailul dvs. de ieșire de la adresa $\texttt{[email protected]}$ prin introducerea unui $\texttt{DKIM-Signature}$ antet în mesajul trimis.
Dacă furnizați o copie a acestui e-mail unui observator, acesta va putea verifica antetul DKIM folosind o bibliotecă precum DeschideDKIM.
Rețineți că serverul de e-mail la $\texttt{domeniul1.com}$ ar putea dori să-și rotească cheile DKIM din când în când și pot publica cheia privată care a fost rotită. Motivul pentru care cheia privată poate fi publicată ar fi acela de a permite respingerea mesajelor care ar putea fi scurse la o dată ulterioară. Dacă se întâmplă acest tip de rotație și publicare a cheilor, ar trebui să demonstrați că dețineți e-mailul trimis înainte ca cheia privată DKIM să fie publicată.