我为 SalesForce 电子邮件活动的子域添加了 4 个 NS 条目。
SalesForce 此后抱怨说他们看到“RRSIG
子域名条目”并且他们“不支持(添加到 NS)RRSIG
记录”,因此我需要将其删除。
我没有添加该RRSIG
条目 - 看起来它是自动的?我在 GoDaddy 界面或区域文件中没有看到它。我可以删除它吗?
SalesForce 向我介绍了一个网络工具 (欣恩德网)显示违规记录(最后一行)
email.example.com. 3600 IN NS ns4.exacttarget.com.
email.example.com. 3600 IN NS ns3.exacttarget.com.
email.example.com. 3600 IN NS ns2.exacttarget.com.
email.example.com. 3600 IN NS ns1.exacttarget.com.
email.example.com. 600 IN RRSIG NSEC 8 3 600 20220517140242 20220502140242.. (bunch of stuff...)
根据 anx 的评论和指示DNSViz我看到这个错误:
example.com 到 email.example.com:父区域 (example.com) 的服务器以引荐方式响应,而不是针对 DS RR 类型做出权威答复。
我不确定这是否是存在问题的证据,或者只是表明我们已将子域的 DNS 控制权委托给 SalesForce。因此,问题出在哪里仍不清楚。
答案1
RRSIG
是与 DNSSEC 相关的签名。它不是“隐藏”记录,但不能像其他记录一样进行编辑。
您的区域已启用 DNSSEC(如记录DS
所示),并且已进行完整的 DNSViz 诊断。这是由您的 DNS 提供商完成的,因此如果您对区域内容有任何疑问,并且不了解 DNSSEC,您的 DNS 提供商应该是您的第一联系人。
但是,随后您将区域的一部分委托给另一组名称服务器。在这种情况下,您的DS
区域中应该有一个或多个记录,而DNSKEY
子名称服务器中应该有相应的记录。但 DNSViz 告诉您,情况显然并非如此,因为它无法获取相关DS
记录,因此破坏了至少部分区域的完整 DNSSEC 验证,您不希望出现这种情况,因为这意味着对于某些用户(可能是大多数用户,因为最大的公共 DNS 解析器都经过了完整的 DNSSEC 验证),他们根本看不到该区域的那一部分,他们会收到 DNS 错误,就好像该名称不存在一样。
“简单”(或至少快速)的解决方案是要求您当前的 DNS 提供商禁用完整区域的 DNSSEC(这将导致删除那些“隐藏” RRSIG
记录)。但您也会有所损失,因为 DNSSEC 确实提供了一些保证,确保客户端在访问您的资源时收到的响应的完整性。
真正的解决方案是去 Salesforce 并要求他们提供另一种方式(无需委托和NS
记录)来满足您需要的任何服务。这样,您就可以保持区域启用 DNSSEC。然而,这个请求很有可能被置若罔闻,因为首先您需要经过足够多的客户支持层,才能找到了解 DNSSEC 的人。
至于:
这只是表明我们已将子域的 DNS 控制权委托给销售人员。
仅凭您所在区域的权威名称服务器中存在的NS
记录即可证明控制权。如果这样做只是为了证明,那就足够了,可以将其删除。如果它们是所提供服务的一部分,如上所述,您不能同时拥有这些记录和启用 DNSSEC 的区域,因此只能选择其中之一,而不是两者兼而有之。