SESで必要なCNAMEの下線は、レジストラでは許可されていません

Network Solutionsカスタマーサービスの電話で2時間以上経過した後、Amazon SES DKIM認証レコードを手動で入力してもらいました。

まず、CNAMEでアンダースコアを使用できないのは、不正な動作です。

RFC 1034によると：

ホスト名ではない名前は、印刷可能な任意のASCII文字で構成できます。

DKIM規格は、RFC 4871に従って、アンダースコアを要求します。

すべてのDKIMキーは、「_ domainkey」という名前のサブドメインに保存されます。 「d =」タグが「example.com」で、「s =」タグが「foo.bar」のDKIM-Signatureフィールドがある場合、DNSクエリは「foo.bar._domainkey.example.com」に対するものになります。

RFC 1034はCNAMEレコードを記述し、CNAME RRは（必ずしも）hostnameではないので、印刷可能なASCII文字は許可する必要があります。これに関してNetwork Solutionsは間違っています。

DKIMレコードはTXTレコードとして保存できますが、Amazon SESはCNAMEレコードを使用してキーをローテーションできます。これは、Network Solutionの不適切なポリシーがなければ、可能です。

これに関するほとんどの情報について、私は this site をお勧めします。これは、hostnames（CNAMEのフィールドは可能ですが、必ずしもではありません）アンダースコアを許可する必要があります。

最終的に手動でレコードを入力させるには、チケットをエスカレーションする必要がありました。電話で行う必要があり、最初のメールチケットには「電話する必要があります」という残念な応答が返されました。

他のネームサーバーではCNAMEでアンダースコアを使用できることと、それらに対応できない場合はすぐに切り替えることを何度か説明しなければなりませんでした。

これらのDNSレコードが適切に配置されていることを「確認」するために、プライマリアカウントホルダー（私ではなく、技術的な担当者でもありません）と話し合う必要がありました。彼はただ「確認」を求めて電話をかけていましたが、電話で70分以上走らせました。私のアカウントはDNSレコードの編集を許可されているため、この確認は完全に不要であるように見えました。

それはかなり苛立たしい経験でした。できるだけ早くネットワークソリューションから移行する予定です。必要なダウンタイムは過去に私たちを思いとどまらせましたが、現時点ではそれが正当化されていると私は信じています。

レコードを手動で入力するように説得することはできるかもしれませんが、可能な場合はネームサーバーを切り替えることをお勧めします。

DKIMには_domainkey（ RFC 4871 ）という名前のサブドメインが必要です（そして アンダースコアはサブドメインに対して完全に有効です ）。

DNSプロバイダーが許可しない場合はどうなりますか？

1. 彼らに連絡してください、彼らはそれを修正するべきです、そしてもし可能なら、プロバイダーの変更を検討してください。
2. temporaryソリューションとして、TXTレコードを直接コピーします（これは一時的なものであり、ある時点で変更される可能性があり、更新する必要があります）、以下を参照してください：

たとえばSendGridの場合、CNAME s1._domainkey.example.comをs1.domainkey.u1234567.00000.sendgrid.netにポイントするように求められるので、TXT経由で記録：

$ Host -t txt s1.domainkey.u1234567.00000.sendgrid.net
s1.domainkey.u1234567.00000.sendgrid.net descriptive text "k=rsa\; t=s\; p=SOMETHING+VERY+LOOOOOOOONG"

次に、コンテンツとしてTXTレコードをサブドメインs1._domainkeyとして作成します（たとえば、エスケープ解除\を忘れないでください）：

k=rsa; t=s; p=SOMETHING+VERY+LOOOOOOOONG