Das M³WAAG DKIM Key Rotation Best Practices-Dokument (pdf) empfiehlt einen "ausreichend" zufälligen DKIM-Selektornamen, damit er beim Durchsuchen des DNS nicht erraten werden kann. Ein wörtliches Zitat:
4.3 Benennungsschema für die Schlüsselauswahl
Definieren Sie ein Namensschema für die DKIM-Schlüsselauswahl, das sowohl für die forensische Analyse von Bedeutung ist als auch ausreichend zufällig ist, sodass die Schlüssel durch Durchsuchen des DNS nicht leicht erraten werden können.
HINWEIS: Das Benennungsschema für Selektoren sollte auch so konzipiert sein, dass das Risiko verringert wird, dass Angreifer die Namen zukünftiger Selektoren leicht vorhersagen und die zugehörigen Schlüssel abrufen können. In Abschnitt 5 finden Sie eine Beschreibung des Prozesses zum Veröffentlichen von Schlüsseln für die zukünftige Verwendung
Dies mag für kurze 512-Bit-RSA-Schlüssel relevant sein, aber es scheint mir länger nicht sinnvoll zu sein, beispielsweise 2048-Bit-RSA-Schlüssel. Der DNS enthält öffentliche Schlüssel, die nicht geheim sind und durch Lesen nur einer einzelnen signierten E-Mail erkannt werden können. Sicherheit durch Dunkelheit mit sehr wenig Sicherheit?
Warum sollte ein zufälliger DKIM-Selektorname besser sein, wenn es sinnvoll wäre, ihrer Empfehlung zu folgen?
Zwei Vorteile:
Nur eine (etwas schwache) zusätzliche Schutzschicht, wie es scheint.
quelle
In der aktuellen Version ( März 2019 ) der Richtlinien werden zufällige Namen für Selektoren auf einem Bild nur einmal erwähnt. Zitieren der Änderungsübersicht:
Abschnitt 4.2:
Das Bild in Abschnitt 5.1 enthält eine Haftnotiz:
In Abschnitt 5.1.1 heißt es:
quelle