RFC 4871 aborda algumas preocupações com subdomínios que não estão relacionados de forma admistrativa a seus pais, por exemplo. o operador de .com
assumindo o controle dos registros example.com
DKIM e com as delegações de DNS normais não há garantia de onde está o corte do controle administrativo (ou seja, com domínios TLD de vaidade como .walmart
em comparação com walmart.co.uk
dois níveis de diferença em que o controle administrativo começa e isso pode se tornar ainda mais profundo).
O RFC considera que um risco aceitável pela mesma razão que é aceitável para a delegação de domínio normal.
Portanto, tanto quanto eu posso dizer a delegação de subdomínio para um _domainkey.
subdomínio não é totalmente proibido e tal delegação de DNS deve ser seguida, mas o §8.13 também diz:
Note that a verifier MAY ignore signatures that come from an unlikely domain ...