Vários registros DKIM são uma opção viável.
As chaves e registros DKIM devem ser substituídos periodicamente. Durante o processo de atualização, o registro antigo permanece por um período de tempo para permitir a verificação de mensagens em trânsito. Isso também pode permitir a revalidação de mensagens recebidas.
Não vejo nenhum valor em usar o CNAME para registros DKIM. Ele só adicionará pesquisas adicionais de DNS antes que o registro TXT necessário seja lido. Os registros DKIM devem ser adicionados sempre que a chave for alterada. Isso requer novos registros TXT e pode exigir novos registros CNAME também.