对于组织,我们将_domainkey.domain.com设置为单独的区域,而不是在我们的根域zone.com上创build所有的DKIMlogging。
因此,_domainkey.domain.com和domain.com的名称服务器是不同的。
这可以接受吗?
许多ESP正在validation我们的DKIM设置正确。 一个主要的ESP不validation,他们说这是因为_domainkey.domain.com和domain.com的名称服务器必须相同,以便邮件提供商通过DKIM身份validation。 然而,当我们向Gmail发送testing时,它确实通过了DKIM。
这家公司错了吗? 或者你可以主持两个不同的名称服务器?
RFC 4871解决了一些关于子域的问题,这些子域没有涉及其父母,也就是说.com的运营商控制了example.com DKIMlogging,而且在正常的DNS代理下,无法保证行政控制的削减。与虚荣TLD域如.walmart相比, walmart.co.uk有两个层次的差异,行政控制开始,甚至可以变得更深)。
RFC认为这是一个可接受的风险,同样的原因,它是正常的域代表团可以接受的。
因此,据我可以告诉子域代表一个_domainkey. 子域不是完全禁止的,应该遵循这样的DNS委托,但§8.13也说:
请注意,validation者可能忽略来自不太可能的域的签名…
RFC中没有任何内容表明所有logging必须具有相同的名称服务器。 但是,在第8.4节中,build议应用胶水logging的严格validation。 有可能你的服务器没有提供胶水logging。
通常将子域设置为单独的区域。 这些可以由相同的服务器提供服务或委托给不同的名称服务器。 example.com. 是com.一个子域com. 域。
将_domainkey作为单独的区域使得更新子域更简单,因为只有该区域需要重新加载。 旋转键时,只需要重新加载几个条目。 它还可以防止对域中其他logging的意外更改。
我没有testing,但它可能会使多域之间的区域更简单。 我将很快为我的_domainkey和_dmarc子域进行testing。