我正在尝试设置 opendkim,但得到以下结果:
# opendkim-testkey -vvvv -d my.example.com -s 201702
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key '201702._domainkey.my.example.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK
这应该意味着 DNSSEC 不起作用。
但根据https://dnssec-debugger.verisignlabs.com/example.comdnssec 很好。
我应该担心吗?
答案1
您必须确保 OpenDKIM 能够使用 DNSSEC。key not secure在这种情况下意味着 OpenDKIM 无法使用 DNSSEC 验证密钥。
例如,您可以使用它dig来查看它是否报告 AD(真实数据)标志:
$ dig yourselector._domainkey.yourdomain.org TXT +dnssec
; <<>> DiG 9.16.1-Ubuntu <<>> yourselector._domainkey.yourdomain.org TXT +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26731
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
这里最重要的部分是标志ad:它意味着主机上使用的任何解析器都能够使用 DNSSEC 验证响应数据。
对于 OpenDKIM,您还必须确保它可以使用 DNSSEC。例如,在 Debian 上,TrustAnchorFile /usr/share/dns/root.key默认 /etc/opendkim.conf 中的设置提供了对 DNSSEC 功能的支持。