<div dir="ltr">My 2p is...<div>You *shouldn't* do a lot of things, but people do anyway, because they can.</div><div><br></div><div>If you maintain your own DKIM records then deliberately adding a CNAME upfront seems unnecessarily complicated. KISS.</div><div><br></div><div>If someone else hosts them and CNAME is a pragmatic way to achieve that "ask them" behaviour, then maybe OK. But beware the possible future problem of dangling CNAMEs, where the domain they redirect to has expired and been bought by someone else with darker purposes in mind.</div><div><br></div><div>FTR, CNAME records *cannot* co-exist with any other record type of the same name.</div><div><br></div><div>Cheers, Greg</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Mon, 24 Feb 2025 at 10:59, Danilo Godec via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>
<br>
<br>
apparently one shouldn't use CNAMEs for 'delegating' _domainkey records <br>
to another DNS server, but I see that some email service vendors use <br>
that - they have their customers add a CNAME pointing to their TXT <br>
record (one recent example that I was dealing with is <a href="http://atlassian.net" rel="noreferrer" target="_blank">atlassian.net</a> <br>
(<a href="https://accessplanit.atlassian.net/wiki/spaces/HG/pages/417005970/SPF+DKIM+SMTP+Prevent+your+system+emails+being+caught+by+spam+filters" rel="noreferrer" target="_blank">https://accessplanit.atlassian.net/wiki/spaces/HG/pages/417005970/SPF+DKIM+SMTP+Prevent+your+system+emails+being+caught+by+spam+filters</a>) <br>
- probably so that they can rollover their DKIM keys without their <br>
customers needing to do anything.<br>
<br>
<br>
I know that CNAME records can clash with other essential (MX, A, ...)  <br>
records, but since a _domainkey subzone is quite specific and unlikely <br>
to be used for anything else, this should still work, right?<br>
<br>
Or should I consider this an absolute 'no-no' and have my 'customers' <br>
add the complete TXT record?<br>
<br>
<br>
     Regards,<br>
<br>
     Danilo<br>
<br>
<br>
-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>