我正在设置一个新的电子邮件服务器,并决定将我的 DKIM 升级到 2048 位,根据研究,这现在是常用值。运行opendkim-genkey,输出似乎与旧的 1024 位版本不同。
mydomain.com._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAwvUrzLbX7ZoAmAwNN7D2vGl+u4WRaiG
OPjTXvOtTWiVcMhJ0ed8oG4Xmwc7tTtVVLK85cHYXenYjICTBfvj6RuHikgKo5z1LNhebb8Sgf1oR69wQId7+jo+
Ooh9jCNHu20F9pndcuVdeoHMQ19kCgm7O9KK/TbxRrf2LAQNHtr/8w2mzVqEQi6fqsW6OIF13v6c1eZ7hMKMOYl"
"gnC0C0Cumf/+vzpPggz1JDIQG9kbXJih4+ua4IM5BAZKC8W3uUWNQN2E30l2B3GNInraXeh4rDJ8n
RSuEliVy5+y/dGeUwdwKEAPy3wXH11ZPXA30HKOesXPQxpNAWGckg8I57AUXAUX86gtLW+5EdAlD/eulgAwRP/iN
B4I9bPtyoLUL8+SLR6bpaJZIBVyXs5JddSFfUHxl/d7Q5vJdDUqe5voU9If+wavW4MdySsKVk680fmQYaX529"
"LT15lYR5FRz9Rg5JHqefrK1Wnpxp8ZxR3vgISrytlSDyAuGFPWfILjS8G5QGTh2BHuib9OHsiIa7s
31FO+ROk9ZhO3+2xTA81bFb8s3bGLb/NP3NOzfTKvVN9MwnmBfy40QkXefDw2So3xnrmlJNoURja5lUAMm08pEaq
GniwWIyfDuEoPwr+aadk4rrQNUejiQ3KDUtIdqV9Tos3Z6iBpzLp66mpkYxJ9ECAwEAAQ==" ) ;
----- DKIM key mydomain.com for mydomain.com
您可以看到“p=”后面跟着三个字符串。当对 1024 执行此操作时,只有一个字符串。这对于上传到 DNS 是否正确,还是我应该合并这些字符串?
答案1
如果您计划直接在 Bind 中使用它或者在具有与区域配置文件兼容的格式的环境中使用它,那么输出是没问题的。
括号确保 Bind 将所有行解释为一条记录,并且它只会连接字符串。它输出这样的结果是因为 2048 位密钥相当长,作者opendkim-genkey一定认为将其分散到几行上比写成一行很长更好。(实际上,许多软件开发人员对源代码都有最大行长度规则 - 当然这不是“源代码”,但仍然有些人对长行产生了根深蒂固的厌恶)
如果您使用在线 DNS 服务,您可能会发现必须将其全部输入为一行,在这种情况下,只需将整个内容合并在一起(删除双引号和括号)。
额外的完全个人偏好说明 - 我不喜欢选择器“mydomain.com”。您最终会得到一个 DNS 条目mydomain.com._domainkey.mydomain.com。我看到的常见条目是201706._domainkey.mydomain.com,它显示密钥生成的年份/月份,并允许您将来用新密钥替换密钥,同时在切换期间保留旧记录。(例如,在 6 个月内创建一个密钥对201712并开始使用它,然后当您确定没有由旧密钥签名的电子邮件在某个队列中浮动时,删除 201706 dns 条目)。