CNAME kaydında _ (alt çizgi) yasa dışı mı?

Barındırıcımızdaki web arayüzünde DKIM anahtarı için uzun TXT kaydı oluşturmada sorun yaşıyoruz.

Her satır yalnızca 256 karakter kabul edebilir.

Birden fazla satır denedik, sonra bazılarının önerdiği gibi ("ilk ve ")son olarak eklemeyi denedik . İkisi de işe yaramıyor.

Sonra DKIM TXT kayıtlarını yapabileceğimiz başka bir kaydediciye kayıt için bir cname yapmayı denedik .

Ama şimdi web arayüzü kayıttaki yasadışı isimden şikayet ediyor CNAME.

mail._domainkey.example.com TXTTamam tamam
mail._domainkey.example.com CNAMEdeğil Tamam
mail.domainkey.example.com CNAME, ama istediğimiz değil.

Web arayüzü bizi çılgına çevirmeye kararlı mı yoksa alt çizgilere sahip olmak gerçekten "yasadışı" CNAMEmı?

Evet, DNS adları (bu A / AAAA'yı da içerir) yalnızca içerebilir [0-9], [a-z], -, bu nedenle alt çizgi geçerli değildir. Bir TXT kaydının ana bilgisayar adı olmadığını ve bu kısıtlamanın bu kayıt için geçerli olmadığını unutmayın. Ve son bir düzenleme: -ilk karakter olarak da kullanılamaz, bu yüzden mail.-domainkey.our.domgeçerli olmaz.

https://en.wikipedia.org/wiki/Hostname#Restrictions_on_valid_hostnames

Son düzenleme: Kısmen yanılmışım. Ana bilgisayar adı olarak CNAME kullanıldığında, yukarıdaki kısıtlamalar uygulanır. Bir CNAME, DKIM bağlamında bir ana bilgisayar adı olarak kabul edilmez ve bu durumda _bir CNAME girişinin geçerli bir parçası olmalıdır. Bkz. Https://stackoverflow.com/questions/13650233/underscore-in-cname-required-by-ses-not-allowed-by-registrar/26692491#26692491

DNS'de geçerli tüm karakterlere izin verilir. Bkz. Https://tools.ietf.org/html/rfc2181#section-11

"DNS, kaynak kayıtlarını tanımlamak için kullanılabilecek belirli etiketlere yalnızca bir kısıtlama koyuyor. Bu kısıtlama, etiketin uzunluğu ve tam adıyla ilgilidir. Herhangi bir etiketin uzunluğu 1 ile 63 sekizli arasında sınırlıdır. "

İstemci ad değerlerini doğrulamalıdır EG bir MX kaydı "Alice" değerini içerebilir, ancak aramadan sonra "Alice" geçerli bir e-posta adresi olmadığından bu değerin reddedilmesi gerekir.

Bu durumda, barındırıcınız girişinizi "doğrular" gibi görünüyor ve sizin için manuel olarak girebilmeleri gerekir.

RFC 1034: Etiketler ARPANET ana bilgisayar adları için kurallara uymalıdır. Bir harfle başlamalı, harf veya rakamla bitmeli ve iç karakter olarak yalnızca harf, rakam ve kısa çizgi içermelidirler. Uzunluğunda bazı kısıtlamalar da vardır. Etiketler 63 karakter veya daha az olmalıdır.

@ Sven'in cevabı, düzenleme ile zaten doğru ama sadece şeyleri doğrudan ifade etmek için.

TL; DR evet alt çizgi CNAMEher iki taraftaki bir kayıtta geçerlidir, nedenini aşağıda okuyunuz.

RFC 1034 ve diğerleri, dahil herhangi bir karaktere sahip etiketler olan "alan adlarına" dayalı kayıtları tanımlar _.

Ancak bazı kayıtlar, sahip adı ve / veya kaynak verileri (RDATA) için daha katı kurallara sahiptir. Orada sadece bir ana bilgisayar adı kabul edilecek ve aslında kurallar şimdi (bir ana bilgisayar adının bir rakamla başlayamadığı yerlerde rahatlamışlardı) herhangi bir ASCII harfini (büyük / küçük harf duyarlılığı yok), herhangi bir ASCII rakamını ve kısa çizgiyi kullanabilirsiniz , artı bazı ekstra konum kuralları: başlangıç ​​veya bitişte tire yok ve konum 3 ve 4'te çift tire yok ( xn--yalnızca duruma izin verilen formdaki IDN'ler için "rezervasyon" nedeniyle ).

Örneğin, bir Aveya AAAAkaydın sahip adı bir alan adı değil, bir ana bilgisayar adıdır. Yani test.example.com A 192.0.2.1tüm bunlar değil neden geçerlidir:

_test.example.com A 192.0.2.1
-test.example.com A 192.0.2.1
test-.example.com A 192.0.2.1

named-checkzoneProgramla işleri test etmek kolaydır ( bindad sunucusu yazılımının bir parçasıdır, ancak ayrı olarak kullanılabilir ve yüklenebilir ve diğer ad sunucuları benzer kontrol araçlarına sahip olabilir ve muhtemelen bunun için çevrimiçi arabirimler de vardır), sadece bir dosyaya kayıt yerleştirin ve çalıştırın üstünde:

$ cat z1.txt
test.example.com. 1 IN A 192.0.2.1
_test.example.com. 1 IN A 192.0.2.1
-test.example.com. 1 IN A 192.0.2.1
test-.example.com. 1 IN A 192.0.2.1
$ /usr/local/sbin/named-checkzone example.com z1.txt
z1.txt:2: _test.example.com: bad owner name (check-names)
z1.txt:3: -test.example.com: bad owner name (check-names)
z1.txt:4: test-.example.com: bad owner name (check-names)

(önceki sayı INTTL'dir, buradaki sorunumuzla ilgili değildir, ancak yalnızca bir kaydın sözdizimi doğrulamasını geçmek için gereklidir).

Diğer kayıtlar için NSbunun tersi geçerlidir: çünkü sahip üzerinde herhangi bir kısıtlama yoktur, ancak veriler olan "hedef" üzerinde kısıtlamalar vardır. DNS sorgularına yanıt veren fiziksel ana makineler olan yetkili ad sunucularına işaret etmeniz gerektiğinden, veriler yalnızca bir etki alanı adı değil, bir etki alanı adı olabilir.

Şimdi CNAME, RFC 1034, bölüm 3.6'daki ilgili alıntılar:

"owner: RR'nin bulunduğu alan adıdır." yani varsayılan olarak yalnızca bir ana bilgisayar adı değil, herhangi bir ad (CNAME kaydının kaynağı olarak)

"RDATA: kaynağı tanımlayan tür ve bazen sınıfa bağlı veriler:"

"CNAME bir alan adı."

Yani hem a'nın CNAME(solda ne var) sahibi, hem de ona bağlı olan kaynak verileri, hedefi / hedefi (sağda ne var) sadece ana makine adları değil, alan adlarıdır. Temelde herhangi bir karakter, böylece _her iki tarafta da izin verilir.

Yine, test etmek kolaydır named-checkzone:

$ cat z2.txt
_foo 1 CNAME _bar
$ /usr/local/sbin/named-checkzone example.com z2.txt
zone example.com/IN: has 0 SOA records
zone example.com/IN: has no NS records
zone example.com/IN: not loaded due to errors.

Hakkında hiçbir hata yok CNAME(diğer hatalar bekleniyor, çünkü sahte bölgemde herhangi bir şey koymadım SOAveya NSgerçek bir bölge gibi kayıtlar olurdu)