我为 SalesForce 电子邮件活动的子域添加了 4 个 NS 条目。
SalesForce 此后抱怨说他们看到“RRSIG子域名条目”并且他们“不支持(添加到 NS)RRSIG记录”,因此我需要将其删除。
我没有添加该RRSIG条目 - 看起来它是自动的?我在 GoDaddy 界面或区域文件中没有看到它。我可以删除它吗?
SalesForce 向我介绍了一个网络工具 (欣恩德网)显示违规记录(最后一行)
email.example.com. 3600 IN NS ns4.exacttarget.com.
email.example.com. 3600 IN NS ns3.exacttarget.com.
email.example.com. 3600 IN NS ns2.exacttarget.com.
email.example.com. 3600 IN NS ns1.exacttarget.com.
email.example.com. 600 IN RRSIG NSEC 8 3 600 20220517140242 20220502140242.. (bunch of stuff...)
根据 anx 的评论和指示DNSViz我看到这个错误:
example.com 到 email.example.com:父区域 (example.com) 的服务器以引荐方式响应,而不是针对 DS RR 类型做出权威答复。
我不确定这是否是存在问题的证据,或者只是表明我们已将子域的 DNS 控制权委托给 SalesForce。因此,问题出在哪里仍不清楚。
答案1
RRSIG是与 DNSSEC 相关的签名。它不是“隐藏”记录,但不能像其他记录一样进行编辑。
您的区域已启用 DNSSEC(如记录DS所示),并且已进行完整的 DNSViz 诊断。这是由您的 DNS 提供商完成的,因此如果您对区域内容有任何疑问,并且不了解 DNSSEC,您的 DNS 提供商应该是您的第一联系人。
但是,随后您将区域的一部分委托给另一组名称服务器。在这种情况下,您的DS区域中应该有一个或多个记录,而DNSKEY子名称服务器中应该有相应的记录。但 DNSViz 告诉您,情况显然并非如此,因为它无法获取相关DS记录,因此破坏了至少部分区域的完整 DNSSEC 验证,您不希望出现这种情况,因为这意味着对于某些用户(可能是大多数用户,因为最大的公共 DNS 解析器都经过了完整的 DNSSEC 验证),他们根本看不到该区域的那一部分,他们会收到 DNS 错误,就好像该名称不存在一样。
“简单”(或至少快速)的解决方案是要求您当前的 DNS 提供商禁用完整区域的 DNSSEC(这将导致删除那些“隐藏” RRSIG记录)。但您也会有所损失,因为 DNSSEC 确实提供了一些保证,确保客户端在访问您的资源时收到的响应的完整性。
真正的解决方案是去 Salesforce 并要求他们提供另一种方式(无需委托和NS记录)来满足您需要的任何服务。这样,您就可以保持区域启用 DNSSEC。然而,这个请求很有可能被置若罔闻,因为首先您需要经过足够多的客户支持层,才能找到了解 DNSSEC 的人。
至于:
这只是表明我们已将子域的 DNS 控制权委托给销售人员。
仅凭您所在区域的权威名称服务器中存在的NS记录即可证明控制权。如果这样做只是为了证明,那就足够了,可以将其删除。如果它们是所提供服务的一部分,如上所述,您不能同时拥有这些记录和启用 DNSSEC 的区域,因此只能选择其中之一,而不是两者兼而有之。