Открытый ключ публикуется в DNS и вносится в запись txt-ресурса политики поддомена domainkey. Закрытый (приватный) ключ «привязан» к политике и загружается поддерживающим DKIM почтовым ПО.

В связи с возможностью модификации электронных сообщений в процессе пересылки они по мере необходимости преобразуются согласно требованиям SMTP-стандарта (7-бит MIME), то есть обретают форму, в которой и будут представлены адресату.

Сервер-отправитель (или пользовательский почтовый агент) затем с помощью закрытого ключа генерирует шифрованную подпись, которая отражает информацию, взятую из заголовков письма.

Во избежание злоупотреблений DKIM-подпись должна обязательно включать данные из читаемых адресатом полей From («От»), Sender («Отправитель»), Subject («Тема»), Date («Дата»), To («Кому»). DKIM-подпись ставится отдельным заголовком к письму и предваряет все прочие заголовки.

Поддерживающее DKIM ПО принимающей стороны удостоверяет легитимность шифрованной подписи, извлекает из нее имя домена и запрашивает открытый ключ и записи txt-ресурса у сервера DNS.

С помощью считанного из DNS ключа система-реципиент генерирует DKIM-подпись и сравнивает ее с полученной, фиксируя результат.

При подтверждении полномочий заявленного в письме отправителя письмо доставляется адресату в соответствии с местным регламентом; не прошедшая проверку корреспонденция сбрасывается, отклоняется или отправляется в карантин.

Поскольку открытый ключ в любой момент может быть заменен или отозван отправителем, рекомендуется производить верификацию своевременно.