我在一台服务器上托管了 4 个域名。我应该使用 4 个单独的 dkim 密钥还是为所有域名使用一个密钥?
此外,就选择器而言,我是否需要使用 opendkim.conf 中指定的选择器,或者我是否可以/应该使用新密钥为每个域创建一个新的选择器?
答案1
我在一台服务器上托管了 4 个域名。我应该使用 4 个单独的 DKIM 密钥还是为所有域名使用一个密钥?
从技术上讲,您可以使用相同的密钥对为同一邮件服务器上托管的所有域生成 DKIM 签名。当您托管(许多)不同的域时,这可能是更好的选择。
在您的主域名的 DNS 区域中发布一次 DKIM 记录,即
dkim.example.net. 86400 IN TXT "k=rsa\; p=MIGfMA0GCSq...DAQAB\;"对于所有域名,您需要使用相同的
selector-name并设置域密钥 DNS 记录,例如:
selector-name._domainkey IN CNAME dkim.example.net.
然后设置
/etc/opendkim.conf:
KeyTable /etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
在/etc/opendkim/KeyTable:
selector-name example.com:selector-name:/etc/opendkim/selector-name.key
并将/etc/opendkim/SigningTable每个域映射到该单个键:
* selector-name
对于有限数量的域,我通常opendkim-genkey --domain=example.com --selector=20180717 --verbose为每个域生成唯一的密钥对()并维护 opendkimKeyTable和SigningTable映射。
在/etc/opendkim/KeyTable:
selector-name._domainkey.example.com example.com:selector-name:/etc/opendkim/selector-name._domainkey.example.com.key
selector-name._domainkey.example.org example.org:selector-name:/etc/opendkim/selector-name._domainkey.example.org.key
并将/etc/opendkim/SigningTable每个域映射到其自己的密钥:
example.com selector-name._domainkey.example.com
example.org selector-name._domainkey.example.org
答案2
我建议您对不同的域使用不同的密钥。您不需要使用 same 来指定它们Selector,因为当KeyTable使用 时,Selector配置参数不会被使用。