Для организации мы устанавливаем _domainkey.domain.com в качестве отдельной зоны вместо того, чтобы создавать все наши записи DKIM в нашей корневой доменной зоне domain.com.
В результате серверы имен для _domainkey.domain.com и domain.com различны.
Это приемлемо?
Многочисленные ESP правильно проверяют нашу настройку DKIM. Один из основных ESP не проверяет, и они говорят, что это потому, что серверы имен для _domainkey.domain.com и domain.com должны быть одинаковыми, чтобы почтовые провайдеры могли пройти аутентификацию DKIM. Тем не менее, когда мы отправляем тест в Gmail, он проходит DKIM.
Эта компания ошибается? Или вы можете разместить их на разных серверах имен?
RFC 4871 устраняет некоторые проблемы, связанные с поддоменами, которые не имеют административного отношения к своим родительским доменам, т. е. оператор .com
взять под контроль example.com
DKIM, и что при обычном делегировании DNS нет гарантии, что административный контроль ограничен (например, с тщеславными доменами TLD, такими как .walmart
по сравнению с walmart.co.uk
Есть два уровня различия, на которых начинается административный контроль, который может даже стать глубже).
RFC считает это приемлемым риском по той же причине, что и нормальное делегирование домена.
Поэтому, насколько я могу судить, делегирование поддоменов для _domainkey.
субдомен не запрещен прямо, и такое делегирование DNS должно соблюдаться, но в §8.13 также говорится:
Обратите внимание, что верификатор МОЖЕТ игнорировать подписи, исходящие от маловероятный домен ...
В RFC нет ничего, что указывало бы на то, что все записи должны иметь одни и те же серверы имен. Однако в разделе 8.4 рекомендуется применять строгую проверку записей о связях. Возможно, ваш сервер не предоставляет записи о связях.
Обычно субдомены настраиваются как отдельные зоны. Они могут обслуживаться одним и тем же сервером или делегироваться разным серверам имен. example.com.
является подобластью com.
домен.
Имея _domainkey
поскольку отдельная зона упрощает обновление поддомена, поскольку необходимо перезагружать только эту зону. При вращении клавиш необходимо перезагрузить только несколько записей. Это также предотвращает случайное изменение других записей в домене.
Я не тестировал, но это может упростить совместное использование зоны между несколькими доменами. Я скоро буду тестировать это для своего _domainkey
и _dmarc
поддомены.