Назад | Перейти на главную страницу

Размещение DKIM-записей на отдельных серверах имен

Для организации мы устанавливаем _domainkey.domain.com в качестве отдельной зоны вместо того, чтобы создавать все наши записи DKIM в нашей корневой доменной зоне domain.com.

В результате серверы имен для _domainkey.domain.com и domain.com различны.

Это приемлемо?

Многочисленные ESP правильно проверяют нашу настройку DKIM. Один из основных ESP не проверяет, и они говорят, что это потому, что серверы имен для _domainkey.domain.com и domain.com должны быть одинаковыми, чтобы почтовые провайдеры могли пройти аутентификацию DKIM. Тем не менее, когда мы отправляем тест в Gmail, он проходит DKIM.

Эта компания ошибается? Или вы можете разместить их на разных серверах имен?

RFC 4871 устраняет некоторые проблемы, связанные с поддоменами, которые не имеют административного отношения к своим родительским доменам, т. е. оператор .com взять под контроль example.com DKIM, и что при обычном делегировании DNS нет гарантии, что административный контроль ограничен (например, с тщеславными доменами TLD, такими как .walmart по сравнению с walmart.co.uk Есть два уровня различия, на которых начинается административный контроль, который может даже стать глубже).
RFC считает это приемлемым риском по той же причине, что и нормальное делегирование домена.

Поэтому, насколько я могу судить, делегирование поддоменов для _domainkey. субдомен не запрещен прямо, и такое делегирование DNS должно соблюдаться, но в §8.13 также говорится:

Обратите внимание, что верификатор МОЖЕТ игнорировать подписи, исходящие от маловероятный домен ...

В RFC нет ничего, что указывало бы на то, что все записи должны иметь одни и те же серверы имен. Однако в разделе 8.4 рекомендуется применять строгую проверку записей о связях. Возможно, ваш сервер не предоставляет записи о связях.

Обычно субдомены настраиваются как отдельные зоны. Они могут обслуживаться одним и тем же сервером или делегироваться разным серверам имен. example.com. является подобластью com. домен.

Имея _domainkey поскольку отдельная зона упрощает обновление поддомена, поскольку необходимо перезагружать только эту зону. При вращении клавиш необходимо перезагрузить только несколько записей. Это также предотвращает случайное изменение других записей в домене.

Я не тестировал, но это может упростить совместное использование зоны между несколькими доменами. Я скоро буду тестировать это для своего _domainkey и _dmarc поддомены.