对于组织,我们将 _domainkey.domain.com 设置为单独的区域,而不是在我们的根域区域 domain.com 上创建所有 DKIM 记录。
因此,_domainkey.domain.com 和 domain.com 的名称服务器不同。
这可以接受吗?
许多 ESP 都正确验证了我们的 DKIM 设置。一家主要的 ESP 没有通过验证,他们说这是因为 _domainkey.domain.com 和 domain.com 的名称服务器必须相同,邮件提供商才能通过 DKIM 身份验证。然而,当我们向 Gmail 发送测试时,它确实通过了 DKIM。
这家公司错了吗?或者你能将两者托管在不同的名称服务器上吗?
答案1
RFC 4871解决了一些与父域名无管理关系的子域名的问题,即运营商.com控制example.comDKIM 记录,而使用普通 DNS 授权无法保证管理控制的界限(即与虚荣 TLD 域名相比,.walmart存在walmart.co.uk两个管理控制开始的层次差异,甚至可能变得更深)。
RFC 认为这是一个可接受的风险,原因与普通域名授权相同。
因此,据我所知,子_domainkey.域名的子域名委派并非完全被禁止,并且应该遵循此类 DNS 委派,但第 8.13 条还规定:
请注意,验证者可以忽略来自不太可能的域...
答案2
RFC 中没有任何内容表明所有记录都必须具有相同的名称服务器。但是,第 8.4 节建议对粘合记录进行严格验证。您的服务器可能未提供粘合记录。
将子域设置为单独的区域是很常见的。这些子域可以由同一服务器提供服务,也可以委托给不同的名称服务器。 example.com.是域的子域com.。
作为_domainkey一个单独的区域,更新子域变得更简单,因为只需要重新加载该区域。轮换密钥时,只需要重新加载几个条目。它还可以防止意外更改域中的其他记录。
我还没有测试过,但它可能会使多个域之间的区域共享变得更简单。我很快就会为我的_domainkey和_dmarc子域测试它。