Чи _ (підкреслення) незаконне в записі CNAME?

У нас виникають проблеми зі створенням довгого запису TXT для ключа DKIM у веб-інтерфейсі нашого хостеру.

Кожен рядок може приймати лише 256 символів.

Ми спробували кілька рядків, потім спробували додати ("спочатку та ")після останнього, як деякі підказують. Ні один не працює.

Потім ми спробували внести ім’я до запису на іншому хостері, де ми можемо робити записи DKIM TXT.

Але зараз вебінтерфейс скаржиться на незаконне ім’я у CNAMEзаписі.

mail._domainkey.example.com TXTце нормально,
mail._domainkey.example.com CNAMEце не добре,
mail.domainkey.example.com CNAMEце нормально, але не те, що ми хочемо.

Чи веб-інтерфейс просто визначений для того, щоб нас звести з розуму, чи насправді "незаконно" мати підкреслення CNAME?

Так, імена DNS (сюди також належить A / AAAA) можуть містити лише те [0-9], [a-z], -, що підкреслення недійсне. Зауважте, що запис TXT не є ім'ям хоста, і це обмеження не застосовується до нього. І остання редакція: -також не може використовуватися як перший символ, тому mail.-domainkey.our.domне буде дійсною.

https://en.wikipedia.org/wiki/Hostname#Restrictions_on_valid_hostnames

Остаточна редакція: Я частково помилявся. Якщо CNAME використовується як ім'я хоста, застосовуються вищевказані обмеження. Здається, CNAME не вважається іменем хоста в контексті DKIM, і в цьому випадку він _повинен бути дійсною частиною запису CNAME. Дивіться /programming/13650233/underscore-in-cname-required-by-ses-not-allowed-by-registrar/26692491#26692491

У DNS допускаються будь-які дійсні символи. Дивіться https://tools.ietf.org/html/rfc2181#section-11

"DNS сам розміщує лише одне обмеження на конкретні мітки, які можна використовувати для ідентифікації записів ресурсів. Це одне обмеження стосується довжини мітки та повного імені. Довжина будь-якої мітки обмежена від 1 до 63 октетів. "

Клієнт повинен перевірити значення імені EG, запис MX може містити значення "Alice", але після пошуку це значення слід відхилити, оскільки "Alice" не є дійсною адресою електронної пошти.

У цьому випадку схоже, що ваш хостинг "перевіряє" ваш вклад, і вони повинні мати можливість ввести його вручну.

RFC 1034: Мітки повинні відповідати правилам імен хостів ARPANET. Вони повинні починатися з літери, закінчуватися буквою або цифрою і мати як внутрішні символи лише букви, цифри та дефіс. Існують також деякі обмеження щодо довжини. Мітки повинні містити 63 символи або менше.

@ Відповідь Свена, з редагуванням, вже правильна, але просто для прямого формулювання речей.

TL; DR так підкреслення дійсне в CNAMEзаписі з обох сторін, читайте нижче, чому.

RFC 1034 та інші визначають записи на основі "доменних імен", які є мітками з будь-яким символом, у тому числі _.

Але деякі записи мають більш жорсткі правила щодо імені власника та / або даних ресурсу (RDATA). Там буде прийнято лише ім'я хоста, і справді зараз правила (вони були розслаблені в минулому, коли ім'я хоста не можна було починати з цифри), що ви можете використовувати будь-яку літеру ASCII (без чутливості до регістру), будь-які цифри ASCII та дефіси , а також деякі додаткові правила позиції: відсутність дефісів на початку чи в кінці та відсутність подвійних дефісів у позиціях 3 та 4 (через "бронювання" для IDN, які мають форму, xn--яка дозволена лише у випадку).

Наприклад, ім'я власника Aабо AAAAзапису - це ім'я хоста, а не доменне ім'я. Так test.example.com A 192.0.2.1справедливо, чому все це не:

_test.example.com A 192.0.2.1
-test.example.com A 192.0.2.1
test-.example.com A 192.0.2.1

Тестувати речі можна за допомогою named-checkzoneпрограми (частина bindпрограмного забезпечення серверів імен, але може використовуватися та встановлюватися окремо; інші сервери імен можуть мати подібні інструменти перевірки, і, мабуть, для цього теж є Інтернет-інтерфейси), просто покладіть записи у файл та запустіть це на:

$ cat z1.txt
test.example.com. 1 IN A 192.0.2.1
_test.example.com. 1 IN A 192.0.2.1
-test.example.com. 1 IN A 192.0.2.1
test-.example.com. 1 IN A 192.0.2.1
$ /usr/local/sbin/named-checkzone example.com z1.txt
z1.txt:2: _test.example.com: bad owner name (check-names)
z1.txt:3: -test.example.com: bad owner name (check-names)
z1.txt:4: test-.example.com: bad owner name (check-names)

(число перед INTTL є, це не пов'язане з нашою проблемою тут, а потрібно просто для перевірки синтаксису запису).

Для інших записів - навпаки: для NSвласника немає обмежень, а обмеження щодо "цілі", що є даними. Дані можуть бути лише ім'ям хоста, а не доменним іменем, оскільки вам потрібно вказати на авторитетних серверів імен, які є фізичними хостами, які відповідають на запити DNS.

Тепер про CNAME, ось відповідні цитати з RFC 1034, у розділі 3.6:

"власник: яке доменне ім'я, де знайдено RR." що означає за замовчуванням будь-яке ім'я, а не лише ім'я хоста (як джерело запису CNAME)

"RDATA: це тип, а іноді і залежні від класу дані, що описують ресурс:"

"CNAME доменне ім'я."

Отже, як власник CNAME(те, що знаходиться зліва від нього), так і дані про ресурси, що додаються до нього, його призначення / ціль (те, що знаходиться праворуч від нього) - це доменні імена, а не лише імена хостів. В основному будь-який символ, тому включення _дозволено з обох сторін.

Знову ж таки, легко перевірити за допомогою named-checkzone:

$ cat z2.txt
_foo 1 CNAME _bar
$ /usr/local/sbin/named-checkzone example.com z2.txt
zone example.com/IN: has 0 SOA records
zone example.com/IN: has no NS records
zone example.com/IN: not loaded due to errors.

Ніяких помилок щодо CNAME(інші помилки очікуються, оскільки в моїй фальшивій зоні я не поставив жодної SOAабо NSзаписів, як справжня зона)