Domain-Name-System

從 GoDaddy 子域中刪除 RRSIG 記錄

  • May 3, 2022

我為 SalesForce 電子郵件活動的子域添加了 4 個 NS 條目。

此後,SalesForce 抱怨他們看到“RRSIG子域條目”並且他們“不支持(添加到 NS)RRSIG記錄”,因此我需要將其刪除。

我沒有添加RRSIG條目 - 看起來它是自動的?我在 GoDaddy 界面或區域文件中看不到它。我可以刪除它嗎?

SalesForce 將我引導至顯示違規記錄(最後一行)的網路工具 ( xnnd.com )

email.example.com.  3600    IN  NS  ns4.exacttarget.com.
email.example.com.  3600    IN  NS  ns3.exacttarget.com.
email.example.com.  3600    IN  NS  ns2.exacttarget.com.
email.example.com.  3600    IN  NS  ns1.exacttarget.com.
email.example.com.  600 IN  RRSIG   NSEC 8 3 600 20220517140242 20220502140242.. (bunch of stuff...)

根據 anx 的評論和對DNSViz的指示,我看到了這個錯誤:

example.com 到 email.example.com:父區域 (example.com) 的伺服器以推薦方式響應,而不是權威地回答 DS RR 類型。

我不確定這是否表明存在問題,或者只是表明我們已將子域的 DNS 控制權委託給了 SalesForce。所以還不清楚問題出在哪裡。

RRSIG是一個簽名,與 DNSSEC 相關。它不是“隱藏”記錄,但不能像任何其他記錄一樣進行編輯。

如記錄所示,您的區域啟用了 DNSSEC,並啟用DS了完整的 DNSViz 診斷。這是由您的 DNS 提供商完成的,因此對於您區域內容的任何問題,如果您不了解 DNSSEC,您的 DNS 提供商應該是您的第一聯繫人。

但是隨後您將區域的一部分委託給另一組名稱伺服器。在這種情況下,您的區域中應該有一個或多個記錄,並且子名稱伺服器中應該有DS相應的記錄。DNSKEY這顯然不是 DNSViz 告訴您的情況,因為它無法獲取相關DS記錄,因此破壞了至少部分區域的完整 DNSSEC 驗證,您不希望出現這種情況,因為這對某些使用者(和可能大多數最大的公共 DNS 解析器都在進行 DNSSEC 驗證)他們根本看不到該區域的那部分,他們會收到一個 DNS 錯誤,就好像該名稱不存在一樣。

“簡單”(或至少快速)的解決方案是要求您目前的 DNS 提供商在您的完整區域上禁用 DNSSEC(這將導致刪除那些“隱藏” RRSIG記錄)。但是你也鬆了一點,因為 DNSSEC 確實為客戶端在訪問你的資源時收到的響應的完整性提供了一些保證。

真正的解決方案是轉而去 Salesforce 並要求他們提供另一種方式(無需委託和NS記錄)來滿足您為他們提供的任何服務。這樣,您可以使您的區域保持啟用 DNSSEC。然而,這個請求被置若罔聞,這是一個很大的風險,因為首先您需要經過足夠多的客戶支持,然後才能找到了解 DNSSEC 的人。

至於:

只是表明我們已將子域的 DNS 控制權委託給了 salesforce。

NS在您所在區域的權威名稱伺服器中存在記錄就是控制的證明。如果這樣做只是為了斷言證據,那就足夠了,它們可以被刪除。如果它們是所傳遞服務的一部分,如上所述,您不能同時擁有它們和啟用 DNSSEC 的區域,因此它將是一個或另一個,而不是兩者。

引用自:https://serverfault.com/questions/1099996