Hospedando registros DKIM em servidores de nomes separados

7

Para a organização, configuramos um _domainkey.domain.com como uma zona separada, em vez de criar todos os nossos registros DKIM em nossa zona de domínio raiz domain.com.

Como resultado, os nameservers de _domainkey.domain.com e domain.com são diferentes.

Isso é aceitável?

Vários ESPs estão validando a configuração do DKIM corretamente. Um grande ESP não está validando e eles estão dizendo que é porque os servidores de nomes para _domainkey.domain.com e domain.com devem ser os mesmos para que os provedores de email passem a autenticação DKIM. No entanto, quando enviamos um teste para o Gmail, ele passa pelo DKIM.

Esta empresa está errada? Ou você pode hospedar os dois em diferentes servidores de nomes?

    
por jadent 26.08.2016 / 18:05

2 respostas

10
O

RFC 4871 aborda algumas preocupações com subdomínios que não estão relacionados de forma admistrativa a seus pais, por exemplo. o operador de .com assumindo o controle dos registros example.com DKIM e com as delegações de DNS normais não há garantia de onde está o corte do controle administrativo (ou seja, com domínios TLD de vaidade como .walmart em comparação com walmart.co.uk dois níveis de diferença em que o controle administrativo começa e isso pode se tornar ainda mais profundo). O RFC considera que um risco aceitável pela mesma razão que é aceitável para a delegação de domínio normal.

Portanto, tanto quanto eu posso dizer a delegação de subdomínio para um _domainkey. subdomínio não é totalmente proibido e tal delegação de DNS deve ser seguida, mas o §8.13 também diz:

Note that a verifier MAY ignore signatures that come from an unlikely domain ...

    
por 26.08.2016 / 21:08
4

Não há nada no RFC que indique que todos os registros devem ter os mesmos servidores de nomes. No entanto, na seção 8.4, recomenda-se que seja aplicada uma validação rigorosa dos registros de cola. É possível que o seu servidor não esteja fornecendo os registros de cola.

É comum configurar subdomínios como zonas separadas. Estes podem ser servidos pelo mesmo servidor ou delegados a diferentes servidores de nomes. example.com. é um subdomínio do domínio com. .

Ter _domainkey como uma zona separada torna a atualização do subdomínio mais simples, pois somente essa zona precisa ser recarregada. Ao girar as teclas, apenas algumas entradas precisam ser recarregadas. Também evita alterações acidentais em outros registros no domínio.

Eu não testei, mas isso pode facilitar o compartilhamento da zona entre vários domínios. Estarei testando isso em breve para os subdomínios _domainkey e _dmarc .

    
por 26.08.2016 / 21:56

Tags