DKIM-запись идентифицируется ее селектором, который может быть default, dkim или что-то еще (а их может быть несколько).
Убедившись, что содержимое электронного письма является действительным, можно использовать селектор DKIM, упомянутый в электронном письме, для поиска {selectorname}._domainkey.{hostname} (например: google._domainkey.protodave.com).
Однако, когда вы просто хотите убедиться, что в домене настроен хотя бы один DKIM (чтобы администратор этого домена выполнил должную осмотрительность), у нас еще нет селектора.
Как мы можем запросить DNS без этого селектора? Это вообще возможно?
Нет, запросить это напрямую невозможно, поскольку нет такой вещи, как DNS-запросы с подстановочными знаками. Поскольку вы проверяете передовой опыт, это не обязательно проблема.
Текущая лучшая практика - иметь все SPF + DKIM + DMARC. Проверяя DMARC, вы также можете косвенно вывести кое-что о DKIM. Если выравнивание для DKIM строгое, почтовая система не будет работать вообще без действительных записей DKIM. Кроме того, если администратор настроил DMARC, он, вероятно, также знает о DKIM.
Есть два доступных метода получения полных зон, но если вам удастся использовать любой из них, вы уже можете сказать, что домен не следует рекомендациям по настройке DNS:
Зональные трансферы не должны быть доступны никому. Это даст вам результаты, если это:
dig axfr example.com @ns1.example.com | grep "_domainkey"
DNSSEC Hashed Authenticated Denial of Existence представил NCES3 / NSEC3PARAM адресовать Зона ходьбы (RFC 5155). В ldns-walk даст результаты, если NSEC все еще используется.
ldns-walk example.com | grep "_domainkey"
Я не знаю цели этой проверки, но охватываются все случаи, которые я мог себе представить:
Если это для входящей почты, у вас уже будет электронное письмо с подписями DKIM или без них, и DMARC сообщит вам, должна ли она быть, если ее нет. Наличие почты с подписями - это также единственный способ убедиться, что DKIM правильно реализован.
Если речь идет о проверке практики ваших клиентов, прежде чем двигаться вперед, форма проверки может запросить селектор (-ы). Опять же, автоматизация службы путем проверки фактической почты будет проще как для вас, так и для вашего клиента.
чтобы убедиться, что в домене настроен хотя бы один DKIM (чтобы администратор этого домена выполнил должную осмотрительность)
Если вы хотите провести реальную комплексную проверку, попросите администратора отправить вам сообщение электронной почты из этого домена, потому что наличие DKIM DNS только запись не означает, что DKIM действительно правильно реализован на их почтовых серверах.
Это даст вам селектор и многое другое, что вам нужно для правильной проверки их настройки.
Есть много других настроек, необходимых для надежной доставки электронной почты, см. Этот канонический Вопросы и ответы и связанные с примерами таких вещей, как DMARC, SPF, обратные записи DNS, черные списки и т. д.
Большинство серверов имен не разрешают передачу зоны кому угодно, а это означает, что если вы не внесены в белый список, вы не можете перечислить записи зоны. Хотя в некоторых редких случаях можно использовать обход по зоне, если DNSSEC используется вместе с NSEC, но это маловероятно.
Помимо предположения селекторов, у вас действительно нет другого выбора, кроме проверки DMARC для выравнивания DKIM, что может указывать на то, что DKIM тоже настроен, но это неубедительно, если DMARC также не был настроен.