我想为处理我的电子邮件的域名设置 DANE。我的域名在 OVH 注册,我正在使用他们的任播 DNS 服务器。他们确实支持 DNSSEC,但不支持 TLSA 记录。
是否有我可以使用的后备记录类型?(例如,如果服务器不支持 SPF,我可以使用 TXT 等)
答案1
我能够在 OVH 上通过生成“通用”记录(使用TYPE52而不是TLSA)来做到这一点。这可以轻松使用哈希投掷者:
$ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com
_443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345
在 OVH 管理器中添加此记录就可以了。
答案2
不。
在 SPF 的情况下使用 TXT 是为了允许更广泛的实施,但它不是一种通用方案,并且这种方法存在一些缺点,阻碍了它的标准化(主要是增加了应用程序的复杂性,但也有其他原因)。
如果您需要对不寻常的 RRtypes 的支持(目前是 TLSA),最好的办法是托管您自己的权威名称服务器。