我目前主要尝试将其设置为验证程序,并在其配置文件( )opendkim的手册页中发现了以下段落:man opendkim.conf
BogusKey(字符串)
指示过滤器以特殊方式处理与伪造(伪造)密钥关联的传递签名。可能的值包括中性(返回“中性”结果)、无(不采取任何特殊操作)和失败(返回“失败”结果;这是默认值)。
我对这段话思考了一会儿,但我不明白。
在这种情况下,“假钥匙”到底是什么?毕竟,只有使用与签名域的公钥相匹配的私钥对签名进行加密后,签名才能通过,而验证者在验证时又会查询公钥。那么伪造的密钥如何与传递的签名相关联呢?
答案1
我认为您的分析是正确的,但这里只是手册页描述有点误导。伪造状态是指 DNSSEC 密钥,而不是 DKIM 密钥;比较UnprotectedKey手册页中其他相关参数的更清晰描述:
指示过滤器以特殊方式处理与在不安全(即不受 DNSSEC 保护)DNS 记录中找到的密钥关联的传递签名。
也就是说,“伪造”和“不受保护”或“不安全”是指此处记录的 DNSSEC 状态:http://opendkim.org/libopendkim/dkim_dnssec.html