Como você pode ler aqui ". ... Um seletor é adicionado ao nome de domínio, usado para encontrar informações de chave pública DKIM ... ".
Além disso, nos termos Wikipedia : " ... O servidor SMTP de recebimento usa o nome de domínio e o selector para realizar uma pesquisa de DNS, o [...] seletor é um método simples para permitir que os assinantes adicionem e removam chaves sempre que desejarem ... "
Em outras palavras, se você estiver enviando um e-mail assinado pelo DKIM, precisará informar aos servidores de e-mail externos COMO eles podem recuperar sua chave RSA para verificar a validade do seu e-mail. A chave RSA é publicada no seu DNS, ok, mas ONDE ? Qual consulta de DNS irá recuperá-lo? Como eles saberão qual consulta / registro de DNS resolve? É aqui que o seletor desempenha sua função: se você estiver enviando e-mails do domínio example.com
e, em seu e-mail, declarar whatever
como seletor, então:
- no cabeçalho de e-mail de saída, é necessário referenciar seu domínio e o seletor relacionado, como em:
DKIM-Signature [...] d=example.com; [...] s=whatever
- no seu DNS, você precisa fornecer um registro
TXT
parawhatever._domainkey.example.com
publicando sua chave RSA, como em:
whatever._domainkey.example.com IN TXT "k=rsa\; t=s\; p=MIGfMA[...]AQAB"
Como você pode ver, a consulta de DNS está no formato
Com base nisso, podemos dizer que:
-
a chave RSA pode ser substituída / atualizada sem qualquer impacto no seletor. Obviamente, é fundamental que, quando você atualiza um lado da chave (o público, publicado no DNS), mude também o outro lado (aquele usado para "assinar" o seu correio de saída);
-
se você deixar o seletor inalterado enquanto atualiza a chave RSA, então um efeito colateral é aquele .... clientes remotos (não servidores; estou falando de MUAs ) que, por qualquer motivo, desejem verificar a assinatura DKIM incluída em seus e-mails antigos / arquivados, falhará no processo de verificação (como o e-mail arquivado foi assinado com uma chave privada cujo público-um, o publicado no DNS, foi atualizado e agora é diferente!).
Quero acrescentar que, na minha experiência, estou acostumado a pensar que a assinatura / verificação de DKIM é um processo que visa o transporte do e-mail e não a verificação do lado do cliente. Então, eu apostaria que é bastante seguro atualizar as CHAVES deixando o seletor intocado.
Por que eu também acho que .... se você for atualizar as KEYs, então você tem que mudar tanto o seu código de assinatura (que precisa apontar para a nova chave privada) quanto o DNS (para publicar a nova chave pública no registro TXT). Então, por que não mudar também o seletor (novamente, em ambos os lados?). Você acabará tendo seletores de TWO publicados no DNS, um apontando para o antigo e outro apontando para o novo. Dessa forma, tudo ficará bem durante o transporte SMTP e, também, os MUAs poderão validar e-mails antigos / arquivados, pois a chave antiga, associada ao seletor antigo, ainda está disponível.