Hosten von DKIM-Datensätzen auf separaten Nameservern

7

Zur Organisation richten wir _domainkey.domain.com als separate Zone ein, anstatt alle unsere DKIM-Einträge in unserer Stammdomänenzone domain.com zu erstellen.

Infolgedessen unterscheiden sich die Nameserver für _domainkey.domain.com und domain.com.

Ist das akzeptabel?

Zahlreiche ESPs validieren unser DKIM-Setup korrekt. Ein wichtiger ESP validiert nicht und sie sagen, dass die Nameserver für _domainkey.domain.com und domain.com identisch sein müssen, damit E-Mail-Anbieter die DKIM-Authentifizierung bestehen können. Wenn wir jedoch einen Test an Google Mail senden, besteht er DKIM.

Ist diese Firma falsch? Oder können Sie die beiden auf verschiedenen Nameservern hosten?

spf dkim jadent
quelle
1
Berücksichtigen Sie die Anzahl der Unternehmen, die ihre E-Mail-Lösung an ein Mailwashing-Unternehmen liefern. Es wäre am einfachsten, die gesamte Domain zu delegieren, aber _domainkeys.domain.dom -> NS von mailwashing.co.dom wäre das nächstbeste.
Criggie

Antworten:

10

RFC 4871 behebt einige Bedenken hinsichtlich Subdomains, die nicht administrativ mit ihren übergeordneten Domänen verwandt sind, dh dem Betreiber, der .comdie Kontrolle über die example.comDKIM-Einträge übernimmt, und dass bei normalen DNS-Delegierungen keine Garantie dafür besteht, wo die administrative Kontrolle eingeschränkt ist (dh bei Vanity-TLD-Domains wie z Im .walmartVergleich dazu walmart.co.ukgibt es zwei Unterschiede, bei denen die administrative Kontrolle beginnt und die sogar noch tiefer gehen können.
Der RFC ist der Ansicht, dass ein akzeptables Risiko aus demselben Grund besteht, aus dem es für eine normale Domaindelegierung akzeptabel ist.

Daher ist, soweit ich das _domainkey.beurteilen kann, die Delegierung von Subdomains für eine Subdomain nicht völlig verboten, und eine solche DNS-Delegierung sollte befolgt werden, aber §8.13 sagt auch:

Beachten Sie, dass ein Prüfer möglicherweise Signaturen ignoriert , die aus einer unwahrscheinlichen Domäne stammen ...

HBruijn
quelle
Ich würde annehmen, dass "Beachten Sie, dass ein Prüfer Signaturen ignorieren kann, die von einer unwahrscheinlichen Domäne stammen " sich auf den dParameter im Header bezieht ...?
Håkan Lindqvist
@ HåkanLindqvist: Dies bedeutet auch, dass das Google Mail-Team beispielsweise das Recht hat, gültig signierte E-Mails abzulehnen , die angeblich von einer Google-Adresse stammen, dies aber tatsächlich nicht getan haben .
Kevin
2
Das große ESP-Zustellbarkeitsteam hat jetzt auch vereinbart, dass Sie _domainkey in einer anderen Zone hosten können und dass die Überprüfungsroutine einen Fehler enthält
jadent
4

Der RFC enthält keine Hinweise darauf, dass alle Datensätze dieselben Nameserver haben müssen. In Abschnitt 8.4 wird jedoch empfohlen, die Leimaufzeichnungen strikt zu validieren. Möglicherweise liefert Ihr Server die Kleberaufzeichnungen nicht.

Es ist üblich, Subdomains als separate Zonen einzurichten. Diese können vom selben Server bereitgestellt oder an verschiedene Nameserver delegiert werden. example.com.ist eine Unterdomäne der com.Domäne.

Wenn Sie _domainkeyeine separate Zone haben, wird das Aktualisieren der Unterdomäne einfacher, da nur diese Zone neu geladen werden muss. Beim Drehen von Tasten müssen nur wenige Einträge neu geladen werden. Es verhindert auch versehentliche Änderungen an anderen Datensätzen in der Domäne.

Ich habe nicht getestet, aber es kann das Teilen der Zone zwischen mehreren Domänen vereinfachen. Ich werde dies bald für meine _domainkeyund _dmarcSub-Domains testen .

BillThor
quelle