Hospedando registros DKIM em servidores de nomes separados

RFC 4871 aborda algumas preocupações com subdomínios que não estão relacionados de forma admistrativa a seus pais, por exemplo. o operador de .com assumindo o controle dos registros example.com DKIM e com as delegações de DNS normais não há garantia de onde está o corte do controle administrativo (ou seja, com domínios TLD de vaidade como .walmart em comparação com walmart.co.uk dois níveis de diferença em que o controle administrativo começa e isso pode se tornar ainda mais profundo). O RFC considera que um risco aceitável pela mesma razão que é aceitável para a delegação de domínio normal.

Portanto, tanto quanto eu posso dizer a delegação de subdomínio para um _domainkey. subdomínio não é totalmente proibido e tal delegação de DNS deve ser seguida, mas o §8.13 também diz:

Note that a verifier MAY ignore signatures that come from an unlikely domain ...

Não há nada no RFC que indique que todos os registros devem ter os mesmos servidores de nomes. No entanto, na seção 8.4, recomenda-se que seja aplicada uma validação rigorosa dos registros de cola. É possível que o seu servidor não esteja fornecendo os registros de cola.

É comum configurar subdomínios como zonas separadas. Estes podem ser servidos pelo mesmo servidor ou delegados a diferentes servidores de nomes. example.com. é um subdomínio do domínio com. .

Ter _domainkey como uma zona separada torna a atualização do subdomínio mais simples, pois somente essa zona precisa ser recarregada. Ao girar as teclas, apenas algumas entradas precisam ser recarregadas. Também evita alterações acidentais em outros registros no domínio.

Eu não testei, mas isso pode facilitar o compartilhamento da zona entre vários domínios. Estarei testando isso em breve para os subdomínios _domainkey e _dmarc .