Cha*_*ton 5 domain-name-system dkim
我经常看到 DKIM 配置指南用作default选择器。这是一个特殊的选择器,还是只是在您只有一个邮件服务器时使用它的约定?
换句话说,如果我使用选择器default._domainkeys.example.com,此条目是否会用于验证签名是否morespecific.selector._domainkey.example.com不存在精确匹配,或者是否仅匹配特定于d=default选择器的签名?
经常看到 DKIM 配置指南使用默认值作为选择器。这是一个特殊的选择器吗
它不是。RFC 4871 中没有任何内容将“默认”作为选择器作为特定含义。
相反,其 4.1 节以这种方式将选择器作为_domainkey区域中的标签引入:
为了支持每个签名域的多个并发公钥,
使用“选择器”对密钥命名空间进行了细分。例如,
选择器可能指示办公地点的名称(例如,
“sanfrancisco”、“coolumbeach”和“reykjavik”)、签名日期
(例如,“january2005”、“february2005”等),甚至是个人
用户。[..]
选择器中允许使用句点,并且句点是组件分隔符。当
从 DNS 检索密钥时,选择器中的句点
以类似于
域名中常规使用的方式定义 DNS 标签边界。选择器组件可用于将日期
与位置组合起来,例如“march2005.reykjavik”。在 DNS
实现中,这可用于允许
选择器命名空间的一部分的委派。
还要注意这一点:
虽然某些域可能希望使选择器值众所周知,但
其他域可能希望注意不要以允许外部各方获取数据的方式分配选择器名称。例如,如果
颁发每个用户密钥,则域所有者将需要决定
是否将此选择器直接与
用户名关联,或者使其成为某个不关联的随机值,例如
公钥的指纹。
因此,某些“默认”选择器没有后备方案,因为解析过程受以下因素控制:
所有 DKIM 密钥都存储在名为“_domainkey”的子域中。给定一个
带有“example.com”的“d=”标签和“foo.bar”的“s=”标签的 DKIM 签名字段,DNS 查询将针对“foo.bar._domainkey.example.com” 。
(但请参阅第 3.8 节,了解有关父级如何对其子级内容进行签名的说明)。