DKIM donne aux courriels un en-tête de signature qui est ajouté au courriel et sécurisé par un cryptage. Chaque signature DKIM contient toutes les informations nécessaires pour qu'un serveur de messagerie puisse vérifier que la signature est réelle, et elle est cryptée par une paire de clés DKIM. Le serveur de courrier électronique d'origine possède ce que l'on appelle la "clé DKIM privée", qui peut être vérifiée par le serveur de courrier électronique ou le fournisseur d'accès Internet récepteur avec l'autre moitié de la paire de clés, appelée "clé DKIM publique".
Ces signatures voyagent avec les courriels et sont vérifiées en cours de route par les serveurs de messagerie qui acheminent les courriels vers leur destination finale.