基于文档--nosubdomains
“不允许使用此密钥签名子域”。但我们是否不需要为子域创建单独的 DKIM 记录?
如果我的理解有误,请指正。将域(d 字段)设置为组织和选择器(签名中的字段 s)的电子邮件签名将用于查询密钥,通过与规范化正文进行比较来验证数字签名(签名中的字段 b)。因此,整个过程到目前为止还没有考虑任何形式的子域,或者只有在 d 字段而不是组织域中提到子域时子域才能进入图片,或者签名中存在 i 字段。在前一种情况下,子域和组织域需要单独的记录,而在后一种情况下,如果 TXT 记录中使用 t=s,验证者应将签名字段 i 的域中的值与原样的值进行比较在 d 字段中。
默认情况下,DKIM 由所有子域继承,如RFC 6376, 3.10中定义:
它还
opendkim-genkey
创建 DNS 密钥记录,它具有设置标志的功能t=s
:这意味着:
t=s
可以用于d=example.com;s=selector
对来自子域 ( ) 的消息进行签名。From: <[email protected]>
t=s
,只能签名d=example.com;s=selector
& ) 或From: <[email protected]>
d=sub.example.com;s=selector
&)。From: <[email protected]>