validar probar check dns cname dkim

dns - probar - El subrayado en CNAME requerido por SES no está permitido por el registrador



probar dkim (4)

El servicio de correo SES de Amazon requiere autenticación DKIM. Un paso de la autenticación es agregar un registro CNAME al DNS de su dominio.

Desafortunadamente el registro CNAME tiene un guión bajo. Mi registrador, Network Solutions, no permite guiones bajos en los registros de CNAME.

¿Hay una solución para esto? Transferir a un registrador diferente es una opción, pero obviamente una opción horrible.


DKIM requiere un subdominio llamado _domainkey ( RFC 4871 ) (y los guiones bajos son completamente válidos para subdominios ).

¿Qué pasa si su proveedor de DNS no los permite?

  1. Póngase en contacto con ellos, deberían solucionarlo y, si puede, considere cambiar de proveedor.
  2. Como solución temporal , copie directamente el registro TXT (esto es temporal porque es probable que cambie en algunos puntos y tendrá que actualizarlo), vea a continuación:

Por ejemplo, para SendGrid le pedirá que señale CNAME s1._domainkey.example.com a s1.domainkey.u1234567.00000.sendgrid.net , así que obtenga el registro TXT a través de:

$ host -t txt s1.domainkey.u1234567.00000.sendgrid.net s1.domainkey.u1234567.00000.sendgrid.net descriptive text "k=rsa/; t=s/; p=SOMETHING+VERY+LOOOOOOOONG"

Ahora cree un registro TXT para el subdominio s1._domainkey con como contenido (recuerde, por ejemplo, un-escape / escape):

k=rsa; t=s; p=SOMETHING+VERY+LOOOOOOOONG


DKIM se realiza con registros TXT . Por supuesto, podría tener un registro CNAME (o cadena) que apunte a un registro TXT , pero es mucho más común crear un registro TXT directamente.

El proveedor de servicios de nombres con autoridad de DNS debe permitirle colocar etiquetas con guiones bajos (que requiere DKIM) en el archivo de zona de su dominio. Si no, seleccione un proveedor de servicios de nombres DNS diferente o use sus propios servidores de nombres.

El registrador DNS que está utilizando no tiene nada que ver con eso. El registrador no controla el contenido del dominio ni siquiera lo sabría.

Puede ser que su registrador y su proveedor de servicios de nombres DNS sean la misma organización, pero son roles separados y deben considerarse por separado.


Después de más de dos horas en el teléfono con el servicio de atención al cliente de Network Solutions, ingresan manualmente los registros de autenticación de Amazon SES DKIM.

En primer lugar, el hecho de que no permiten guiones bajos en su CNAME es un comportamiento INCORRECTO.

Según RFC 1034:

Los nombres que no son nombres de host pueden constar de cualquier carácter ASCII imprimible.

El estándar DKIM REQUIERE el guión bajo, según RFC 4871:

Todas las claves DKIM se almacenan en un subdominio llamado "_domainkey". Dado un campo DKIM-Signature con una etiqueta "d =" de "example.com" y una etiqueta "s =" de "foo.bar", la consulta de DNS será para "foo.bar._domainkey.example.com" .

RFC 1034 describe el registro CNAME e indica que CNAME RR no es (necesariamente) un hostname , por lo que se debe permitir cualquier carácter ASCII imprimible. Network Solutions está MAL en esto.

Mientras que los registros DKIM PUEDEN almacenarse como registros TXT , Amazon SES utiliza registros CNAME para que puedan rotar las teclas. Lo que debería ser posible, si no fuera por las políticas ineptas de Network Solution.

Para la mayoría de la información sobre esto, recomiendo este sitio , que explica que cualquier entrada de DNS que no sea un hostnames (que pueden ser los campos en un CNAME , pero no necesariamente) debe tener caracteres de subrayado.

Para finalmente lograr que ingresen manualmente los registros, necesitaban escalar el ticket. Tenía que hacerse por teléfono, mi boleto de correo electrónico inicial fue respondido con la decepcionante respuesta "Debe llamar".

Tuve que explicar varias veces que otros servidores de nombres permiten guiones bajos en el CNAME y que si no pueden acomodarnos, cambiaremos de inmediato.

Tuvieron que hablar con el titular principal de la cuenta (que no era yo, y no era alguien técnico) para "confirmar" que estos registros de DNS se deben establecer. A pesar de que solo estaba llamando para "confirmar", le dieron la vuelta por teléfono durante más de 70 minutos. Esta confirmación parecía completamente innecesaria, ya que mi cuenta estaba autorizada para editar registros DNS.

Fue una experiencia bastante frustrante, y estoy planeando migrar fuera de las soluciones de red tan pronto como pueda. El tiempo de inactividad requerido nos ha disuadido en el pasado, pero en este punto creo que está justificado.

Si bien puede convencerlos de que ingresen manualmente los registros, recomendaría cambiar los servidores de nombres si es posible.


El foro de Amazon ( https://forums.aws.amazon.com/thread.jspa?threadID=119464 ) dice que puede usar un registro TXT si el registro CNAME no funciona:

"Establecer una entrada de TXT en mi configuración de DNS, esta entrada se parece a: Nombre: ._domainkey.mydomain.com Tipo: TXT Valor:" p = AAZZZZZEEEEEERRRRRRRRTTTTTTTYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY

Todavía no he podido hacer que esto funcione, pero creo que es la dirección correcta, ya que es muy poco probable que pueda yahoo et.al. para cambiar sus políticas de DNS.