web-dev-qa-db-ja.com

opendkim-2048ビットのgenkey出力は3つのセグメントで行われます

私は新しい電子メールサーバーをセットアップしていて、DKIMを2048ビットにアップすることにしました。これは現在の研究では一般的な値です。 opendkim-genkeyを実行すると、出力は古い1028バージョンとは異なるように見えます。

mydomain.com._domainkey       IN      TXT     ( "v=DKIM1; k=rsa; "
          "p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAwvUrzLbX7ZoAmAwNN7D2vGl+u4WRaiG
OPjTXvOtTWiVcMhJ0ed8oG4Xmwc7tTtVVLK85cHYXenYjICTBfvj6RuHikgKo5z1LNhebb8Sgf1oR69wQId7+jo+
Ooh9jCNHu20F9pndcuVdeoHMQ19kCgm7O9KK/TbxRrf2LAQNHtr/8w2mzVqEQi6fqsW6OIF13v6c1eZ7hMKMOYl"
          "gnC0C0Cumf/+vzpPggz1JDIQG9kbXJih4+ua4IM5BAZKC8W3uUWNQN2E30l2B3GNInraXeh4rDJ8n
RSuEliVy5+y/dGeUwdwKEAPy3wXH11ZPXA30HKOesXPQxpNAWGckg8I57AUXAUX86gtLW+5EdAlD/eulgAwRP/iN
B4I9bPtyoLUL8+SLR6bpaJZIBVyXs5JddSFfUHxl/d7Q5vJdDUqe5voU9If+wavW4MdySsKVk680fmQYaX529"
          "LT15lYR5FRz9Rg5JHqefrK1Wnpxp8ZxR3vgISrytlSDyAuGFPWfILjS8G5QGTh2BHuib9OHsiIa7s
31FO+ROk9ZhO3+2xTA81bFb8s3bGLb/NP3NOzfTKvVN9MwnmBfy40QkXefDw2So3xnrmlJNoURja5lUAMm08pEaq
GniwWIyfDuEoPwr+aadk4rrQNUejiQ3KDUtIdqV9Tos3Z6iBpzLp66mpkYxJ9ECAwEAAQ==" )  ; 
----- DKIM key mydomain.com for mydomain.com

「p =」の後に3つの文字列が続くことがわかります。これが1028年に行われたとき、文字列は1つしかありませんでした。これはDNSにアップロードするのに正しいですか、それとも文字列をマージしますか?

1
gariac

Bindまたはゾーン構成ファイルと互換性のある形式の何かで直接使用する場合は、出力は問題ありません。

角かっこは、Bindがすべての行を1つのレコードとして解釈することを確認し、文字列を連結するだけです。 2048ビットキーはかなり長いため、このように出力されます。opendkim-genkeyの作成者は、非常に長い行を1行にするよりも、2行に広げる方がよいと考えなければなりません。 (多くのソフトウェア開発者は、実際にはソースコードの最大行長ルールを持っています-これはもちろん「ソースコード」ではありませんが、それでも一部の人々は長い行に根深い嫌悪感を抱いています)

オンラインDNSサービスを使用している場合は、すべてを1行で入力する必要がある場合があります。その場合は、すべてをマージします(二重引用符と括弧を削除します)。

追加の完全に個人的な好みのメモ-私はセレクター「mydomain.com」のファンではありません。最終的にはmydomain.com._domainkey.mydomain.comのDNSエントリになります。私がよく目にするのは201706._domainkey.mydomain.comです。これは、キーが生成された年/月を示し、切り替え中に古いレコードを保持しながら、将来キーを新しいキーに置き換えることができます。 (たとえば、6か月以内に201712キーペアを作成して使用を開始し、古いキーで署名されたメールがキューのどこかに浮かんでいないことが確実な場合は、201706 dnsエントリを削除します)。

1
USD Matt