我经常看到 DKIM 配置指南使用default选择器。这是一个特殊的选择器,还是如果您只有一个邮件服务器,则使用这个选择器只是一种惯例?
换句话说,如果我使用选择器default._domainkeys.example.com,这个条目是否会用于验证签名是否morespecific.selector._domainkey.example.com存在完全匹配,或者它是否只匹配特定d=default于选择器的签名?
答案1
经常看到 DKIM 配置指南使用默认选择器。这是一个特殊的选择器吗
不是。RFC 4871 中没有任何内容表明“默认”选择器具有特定含义。
_domainkey相反,它的第 4.1 节以这种方式引入选择器作为区域中的标签:
为了支持每个签名域的多个并发公钥,
密钥命名空间使用“选择器”细分。例如,
选择器可能指示办公地点的名称(例如
“旧金山”、“库伦比奇”和“雷克雅未克”)、签名日期
(例如“2005 年 1 月”、“2005 年 2 月”等),甚至个人
用户。[...]
选择器中允许使用句点,句点是组件分隔符。
从 DNS 检索密钥时,选择器中的句点
以类似于
域名中常规使用的方式定义 DNS 标签边界。选择器组件可用于将日期
与位置结合起来,例如“march2005.reykjavik”。在 DNS
实现中,这可用于允许委派部分
选择器命名空间。
还请注意:
虽然有些域可能希望让选择器值广为人知,但
其他域则希望注意不要以允许外部方收集数据的方式分配选择器名称。例如,如果
发布了每个用户的密钥,域所有者将需要决定
是否将此选择器直接与
用户名相关联,或者使其成为一些不相关的随机值,例如
公钥的指纹。
因此,不存在某些“默认”选择器的回退,因为解析过程受以下因素控制:
所有 DKIM 密钥都存储在名为“_domainkey”的子域中。给定一个
带有“d=”标签“example.com”和“s=”标签“foo.bar”的 DKIM-Signature 字段,DNS 查询将针对“foo.bar._domainkey.example.com”。
(但请查看第 3.8 节了解有关父级如何签署其子级内容的解释)。