Размещение записей DKIM на отдельных серверах имен
Для организации мы устанавливаем _domainkey.domain.com в качестве отдельной зоны вместо того, чтобы создавать все наши записи DKIM в зоне нашего корневого домена domain.com.
В результате серверы имен для _domainkey.domain.com и domain.com различны.
Это приемлемо?
Многие ESP правильно проверяют нашу настройку DKIM. Один из основных ESP не проверяет, и они говорят, что это потому, что серверы имен для _domainkey.domain.com и domain.com должны быть одинаковыми, чтобы почтовые провайдеры могли пройти аутентификацию DKIM. Но когда мы отправляем тест на Gmail, он проходит DKIM.
Эта компания ошибается? Или вы можете разместить их на разных серверах имен?
RFC 4871 решает некоторые проблемы, связанные с субдоменами, которые не связаны административным образом со своими родительскими, т.е. оператором .com , берущим под свой контроль записи DKIM example.com , и что при обычном делегировании DNS существует нет гарантии, где происходит сокращение административного контроля (например, с небольшими доменами TLD, такими как .walmart по сравнению с walmart.co.uk , существует два уровня различий, где начинается административный контроль и что может даже стать глубже).
RFC считает это приемлемым риском по той же причине, что и нормальное делегирование домена.
Поэтому, насколько я могу судить, делегирование поддоменов для _domainkey. субдомен не запрещен прямо, и такое делегирование DNS должно выполняться, но в §8.13 также сказано:
Обратите внимание, что верификатор МОЖЕТ игнорировать подписи, которые поступают из маловероятного домена ...
В RFC нет ничего, что указывало бы на то, что все записи должны иметь одни и те же серверы имен. Однако в разделе 8.4 рекомендуется применять строгую проверку записей о связях. Возможно, ваш сервер не предоставляет записи о связях.
Поддомены обычно устанавливаются как отдельные зоны. Они могут обслуживаться одним и тем же сервером или делегироваться разным серверам имен. example.com. является субдоменом com. домен.
Наличие _domainkey в качестве отдельной зоны упрощает обновление субдомена, поскольку необходимо перезагружать только эту зону. При вращении клавиш необходимо перезагрузить только несколько записей. Это также предотвращает случайное изменение других записей в домене.
Я не тестировал, но это может упростить совместное использование зоны несколькими доменами. Я скоро буду тестировать это для своих поддоменов _domainkey и _dmarc .