opendkim-testkey:密钥不安全,但 dnssec 没问题

opendkim-testkey:密钥不安全,但 dnssec 没问题

我正在尝试设置 opendkim,但得到以下结果:

# opendkim-testkey  -vvvv -d my.example.com -s 201702
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key '201702._domainkey.my.example.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK

这应该意味着 DNSSEC 不起作用。

但根据https://dnssec-debugger.verisignlabs.com/example.comdnssec 很好。

我应该担心吗?

答案1

您必须确保 OpenDKIM 能够使用 DNSSEC。key not secure在这种情况下意味着 OpenDKIM 无法使用 DNSSEC 验证密钥。

例如,您可以使用它dig来查看它是否报告 AD(真实数据)标志:

$ dig yourselector._domainkey.yourdomain.org TXT +dnssec

; <<>> DiG 9.16.1-Ubuntu <<>> yourselector._domainkey.yourdomain.org TXT +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26731
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

...

这里最重要的部分是标志ad:它意味着主机上使用的任何解析器都能够使用 DNSSEC 验证响应数据。

对于 OpenDKIM,您还必须确保它可以使用 DNSSEC。例如,在 Debian 上,TrustAnchorFile /usr/share/dns/root.key默认 /etc/opendkim.conf 中的设置提供了对 DNSSEC 功能的支持。

相关内容