問題
如果使用多個網域,是否需要在所有網域上註冊 DKIM 公開金鑰?
回答
根據 DKIM 的規範,經由 Email DLP 的網域,必須將對應的公開金鑰以 DNS 的 TXT 記錄方式公開。
因此,若您使用多個網域,則需要在每個網域的 DNS 中註冊 DKIM 公開金鑰。
另外,若想簡化 DKIM 金鑰輪替的作業,也可以透過 CNAME 記錄,讓其他網域參照註冊於單一網域的 TXT 記錄。
您可以將一個網域作為「主要網域」,將公開金鑰的實體(TXT 記錄)設置於該網域,其他網域則透過「CNAME 記錄」參照此實體,以集中管理金鑰。
※ 關於使用 CNAME 進行 DKIM 設定,目前僅支援參照自身網域的方式。
不支援以 CNAME 方式參照 Email DLP 網域,請注意。
步驟
- 將公開金鑰設置於主要網域
請將作為金鑰實體的公開金鑰(TXT 記錄)設定於任一網域(例如:main-domain.com)。 - 從其他網域進行參照設定
請將其他網域(例如:other-domain.com)的 DKIM 記錄,透過 CNAME 指向主要網域的 TXT 記錄。
參考
以下為將主要網域設為 example.com,其他網域設為 sub-example.com 時的 DNS 設定範例。選擇器使用 your-selector。
| 網域 | 主機名稱 | 記錄類型 | 值/參照目標 |
| example.com | your-selector._domainkey | TXT | v=DKIM1; p=(公開金鑰字串) |
| sub-example.com | your-selector._domainkey | CNAME | your-selector._domainkey.example.com |
有關實際 DKIM 公開金鑰的產生與設定方法,請參考以下文章。
[Email DLP] 用戶群一般設定 - DKIM 的設定
[Email DLP] 於現有 DKIM 新增網域