Назад | Перейти на главную страницу

opendkim-genkey для 2048 бит выводится в трех сегментах

Я настраиваю новый почтовый сервер и решил увеличить свой DKIM до 2048 бит, что, согласно исследованиям, теперь является общепринятым значением. При запуске opendkim-genkey результат выглядит иначе, чем в старой версии 1028.

mydomain.com._domainkey       IN      TXT     ( "v=DKIM1; k=rsa; "
          "p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAwvUrzLbX7ZoAmAwNN7D2vGl+u4WRaiG
OPjTXvOtTWiVcMhJ0ed8oG4Xmwc7tTtVVLK85cHYXenYjICTBfvj6RuHikgKo5z1LNhebb8Sgf1oR69wQId7+jo+
Ooh9jCNHu20F9pndcuVdeoHMQ19kCgm7O9KK/TbxRrf2LAQNHtr/8w2mzVqEQi6fqsW6OIF13v6c1eZ7hMKMOYl"
          "gnC0C0Cumf/+vzpPggz1JDIQG9kbXJih4+ua4IM5BAZKC8W3uUWNQN2E30l2B3GNInraXeh4rDJ8n
RSuEliVy5+y/dGeUwdwKEAPy3wXH11ZPXA30HKOesXPQxpNAWGckg8I57AUXAUX86gtLW+5EdAlD/eulgAwRP/iN
B4I9bPtyoLUL8+SLR6bpaJZIBVyXs5JddSFfUHxl/d7Q5vJdDUqe5voU9If+wavW4MdySsKVk680fmQYaX529"
          "LT15lYR5FRz9Rg5JHqefrK1Wnpxp8ZxR3vgISrytlSDyAuGFPWfILjS8G5QGTh2BHuib9OHsiIa7s
31FO+ROk9ZhO3+2xTA81bFb8s3bGLb/NP3NOzfTKvVN9MwnmBfy40QkXefDw2So3xnrmlJNoURja5lUAMm08pEaq
GniwWIyfDuEoPwr+aadk4rrQNUejiQ3KDUtIdqV9Tos3Z6iBpzLp66mpkYxJ9ECAwEAAQ==" )  ; 
----- DKIM key mydomain.com for mydomain.com

Вы можете видеть, что за «p =» следуют три строки. Когда это было сделано для 1028, была только одна строка. Это правильно для загрузки в DNS или мне нужно объединить строки?

Вывод хорош, если вы планируете использовать его непосредственно в Bind или чем-то, что имеет совместимый формат для файлов конфигурации зоны.

Скобки гарантируют, что Bind интерпретирует все строки как одну запись и просто объединит строки. Он выводится так, потому что 2048-битный ключ довольно длинный, а opendkim-genkey Автор должен думать, что лучше растянуть его на пару строк, чем на одну очень длинную строку. (У многих разработчиков программного обеспечения действительно есть правила максимальной длины строки для исходного кода - это, конечно, не «исходный код», но все же у некоторых людей возникает укоренившееся отвращение к длинным строкам)

Если вы используете онлайн-службу DNS, вам может потребоваться ввести все это как одну строку, и в этом случае да, просто объедините все вместе (удалив двойные кавычки и скобки).

Дополнительное полностью личное замечание о предпочтениях - я не фанат селектора mydomain.com. В итоге вы получите запись DNS для mydomain.com._domainkey.mydomain.com. Обычно я вижу 201706._domainkey.mydomain.com, который показывает год / месяц, когда был сгенерирован ключ, и позволяет вам заменить ключ в будущем новым, сохраняя при этом старую запись на месте во время перехода. (например, через 6 месяцев создайте 201712 keypair и начните использовать его, затем, когда вы уверены, что электронное письмо, подписанное старым ключом, не плавает где-то в очередях, удалите записи 201706 dns).