DKIM подпись для субдомена: почему не работает запись основного домена для субдомена?

Question

[nemurenai_yuki]

Всем привет! Подскажите, пожалуйста, что я делаю не так?
Есть домен domain.com, к которому сделал DKIM подпись. Запись добавлена на DNS сервер (bind), объявлена в конфиге секция DKIM для Exim4 - письма с основного домена подписываются и не падают в спам на
Google и прочих сервисах, т.е. я вижу в источнике письма "dkim=pass (signature was verified)". С этим всё понятно.

Но есть домен subdomain.domain.com, который почему-то не подписывается. Тут есть два варианта развития событий:
1. Если оставлять по умолчанию с записью осного домена domain.com, то в источнике письма будет "dkim=none (message not signed)". Насколько я правильно понимаю, DKIM подпись должна распространяться на домен и субдомены, но по факту - не работает.
2. Если добавлять дополнительную запись для subdomain.domain.com, то в источнике письма меняется статус на "dkim=fail (signature did not verify)".

DKIM настройки в конфиге Exim4

DKIM_DOMAIN = ${lc:${domain:$h_from:}}
DKIM_FILE = /usr/local/etc/exim/dk/${lc:${domain:$h_from:}}.key
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}
DKIM_SELECTOR = mail

remote_smtp:
driver = smtp
dkim_domain = DKIM_DOMAIN
dkim_selector = mail
dkim_private_key = DKIM_PRIVATE_KEY

TXT записи

mail._domainkey.domain.com. IN TXT "v=DKIM1; h=sha256; k=rsa; p=pubkey"
И если добавлять отдельную запись для сабдомена:
mail._domainkey.subdomain.domain.com. IN TXT "v=DKIM1; h=sha256; k=rsa; p=pubkey"

Comments

[Alexey Dmitriev]

Поддомен работает на отдельной зоне? через передачу NS серверов? или в зоне основного домена все делаешь? Если второе-есть смысл поддомен выделить в свою зону со всем набором DNS записей для него.
MX для поддомена резольвится через nslookup --type=MX поддоменблабла?

Ну и протестировать основные параметры для поддомена тут https://mxtoolbox.com/ неплохо бы.

[nemurenai_yuki]

Alexey Dmitriev, работает в зоне основного домена. Но попробовал по совету объявить отдельную зону subdomain.domain.com со своими MX, NS - ничего не изменилось.
MX резовлятся в обоих случаях (и через отдельную зону, и через зону основного домена). mxtoolbox не находит проблем

Что-то мне кажется, проблема где-то в Exim4, но не могу найти

Answer 1

[Владимир Дубровин]

Для второго варианта (предпочтительней) добавьте для подомена DNS-запись с публичным ключем (mail._domainkey.subdomain.domain.com. IN TXT) аналогично родительскому домену.
Для первого вариант вам надо поменять правило для подписи, например так.

Comments

[nemurenai_yuki]

Пробовал оба варианта. И конфигурацию Exim, ссылку на которую Вы кинули. Всё по-прежнему: основной домен подписывает, субдомен нет.
UPD: Позже заметил, что если отправлять почту с другого сервиса через тот же самый SMTP - субдомен подписывает. Выходит, что проблема всё-таки в сервисе. Тогда вопрос: как это диагностировать? Условия одинаковые, разные только сервисы. Header'ы письма практически не отличаются

[Владимир Дубровин]

Проверьте правильно ли вы формируете адрес конверта (MAIL FROM он же envelope-from, обычно записывается в заголовок Return-Path.