DNS にキーが存在するため、署名する必要がある未署名のメッセージ (着信メッセージ) を隔離または拒否するように opendkim を構成するにはどうすればよいでしょうか?
opendkim.conf(5):
On-NoSignature (string)
Selects the action to be taken when a message arrives unsigned.
Possible values are the same as those for On-BadSignature.
The default is accept.
これは設定する正しいオプションではないと思います。メッセージが署名されているはずであること (DNS にキーが存在) を指定しておらず、単に各「一般的な」署名されていないメッセージを参照しているように見えるからです。(間違っていますか?)
答え1
このOn-NoSignatureパラメータの使用は、署名が存在しない場合にアクションを実行するためだけのものであり、署名されていないが DKIM レコードがあるメッセージを隔離するという目的は達成されません。
DKIM TXT レコードは DNS レコードのホスト内の一意のセレクターを使用してキーごとに構成されているため、一般的な受信メールでは目標を達成できない可能性があります。したがって、受信サーバーは、署名されていない電子メールの送信元ドメインが、送信サーバーによって送信されるときに DKIM レコードが存在することを期待しているかどうかを判断する方法がありません (ドメインに代わって複数のサーバーが送信している可能性があります)。