Co je plně kvalifikovaný název domény (FQDN)?

Plně kvalifikovaný název domény (FQDN) je úplný, přesný název konkrétního počítače nebo serveru na internetu, například mail.example.com. Klíčové je slovo „kvalifikovaný“: adresa je zapsaná v plném znění, takže software nemusí nic dohadovat ani doplňovat.

FQDN patří mezi pojmy, které se objevují na obrazovkách pro nastavení serveru, ve formulářích pro TLS certifikáty a v poštovních logách, aniž by je kdokoli vysvětlil. Pokud jste narazili na pole s názvem „FQDN“, na varování „HELO does not resolve“ nebo na certifikát, který vyžaduje plně kvalifikovaný název, tento návod popisuje, co to je, jak ho přečíst, jak najít ten svůj a kde ovlivňuje vaši e-mailovou komunikaci.

Co najdete v tomto návodu

• Co je plně kvalifikovaný název domény?
• Z čeho se FQDN skládá
• FQDN vs. název domény vs. PQDN
• Co dělá FQDN platným?
• Jak zjistíte své FQDN?
• Jak FQDN ovlivňuje doručitelnost e-mailů?
• Jak vám pomůže DMARCeye

Co je plně kvalifikovaný název domény?

Plně kvalifikovaný název domény určuje jedno přesné místo v systému doménových jmen (DNS), od hostitele až ke kořeni. Žádnou část adresy neponechává na tom, aby si ji systém odvodil z kontextu.

V kancelářské síti se například můžete k počítači připojit tím, že napíšete jen mail, a váš počítač automaticky doplní výchozí vyhledávací doménu, aby z toho udělal mail.example.com. Tento zkrácený tvar je sice pohodlný, ale nejednoznačný, protože mail znamená v různých sítích něco jiného. FQDN mail.example.com označuje všude stejného hostitele, a právě proto veřejně dostupné systémy, TLS certifikáty i poštovní servery vyžadují plně kvalifikovaný tvar.

Setkáte se i s verzí zakončenou tečkou, mail.example.com., s tečkou na konci. Tato koncová tečka představuje kořen DNS. Technicky je součástí každého FQDN, ale většina softwaru ji za vás doplní sama, takže ji málokdy píšete.

Z čeho se FQDN skládá

FQDN je řada návěští (labels) oddělených tečkami a čte se zprava doleva, od nejobecnější úrovně dolů ke konkrétnímu hostiteli. Vezměme si mail.example.com:

• Kořen - implicitní koncová tečka (.) na úplném konci. Je to vrchol stromu DNS.
• Doména nejvyšší úrovně (TLD) - com, ležící přímo pod kořenem.
• Doména - example, registrované jméno v rámci com. Dohromady example.com je zóna, kterou vlastníte.
• Hostitel (nebo subdoména) - mail, konkrétní počítač nebo služba v rámci example.com.

Přečtěte si to opačným směrem a dostanete cestu: začněte u kořene, zužte se na com, pak na example a nakonec na hostitele mail. Každé FQDN má stejnou strukturu shora dolů, ať už má dvě návěští, nebo pět.

FQDN vs. název domény vs. PQDN

Tři pojmy se používají volně a způsobují většinu zmatků. Nejsou to totéž.

FQDN vs. prostý název domény

Název domény jako example.com je jméno, které si registrujete a vlastníte. Označuje zónu. FQDN jako mail.example.com označuje konkrétního hostitele uvnitř této zóny, pojmenovaného až ke kořeni. Jednoduše řečeno, doména je pozemek a FQDN je přesná adresa jedné budovy na něm. Registrovaná doména může být sama o sobě FQDN (example.com se přeloží, což znamená, že DNS vrátí odpověď, když si ho něco vyhledá), ale většina FQDN, se kterými pracujete, pojmenovává hostitele pod doménou.

FQDN vs. částečně kvalifikovaný název domény (PQDN)

Částečně kvalifikovaný název domény (PQDN) je záměrně neúplný. Je to relativní jméno, jako mail nebo mail.example, které se přeloží teprve poté, co systém doplní chybějící část pomocí nakonfigurované vyhledávací domény. PQDN je v pořádku uvnitř řízené lokální sítě, kde všichni sdílejí stejnou příponu. Pro cokoli veřejného je to špatná volba, protože ve chvíli, kdy jméno opustí tuto síť, není ho čím doplnit. Když vás obrazovka nastavení žádá o FQDN, žádá vás, abyste tuto nejednoznačnost odstranili.

Co dělá FQDN platným?

Platné FQDN se musí vejít do velikostních a znakových limitů DNS. Tato pravidla jsou stará a ustálená:

• Každé návěští má 63 znaků nebo méně. Návěští je text mezi dvěma tečkami (to mail v mail.example.com).
• Celé FQDN má 253 znaků nebo méně ve své běžné textové podobě, včetně teček mezi návěštími.
• Návěští používají písmena, číslice a pomlčky. Návěští nesmí začínat ani končit pomlčkou.
• Na velikosti písmen nezáleží. Mail.Example.com a mail.example.com se přeloží na stejné místo.

Pokud jméno tato pravidla poruší, DNS ho považuje za neplatné a nepřeloží se. To je dobré vědět, když volíte názvy hostitelů pro poštovní servery, protože jméno, které vypadá platně, ale nepřeloží se, způsobí potíže později.

Jak zjistíte své FQDN?

Příkaz závisí na vašem operačním systému:

• Windows - spusťte ipconfig /all a spojte Host Name s Primary DNS Suffix. Můžete ho také přečíst z pole Full computer name ve vlastnostech systému.
• macOS - spusťte hostname -f v Terminálu.
• Linux - spusťte hostname -f (nebo hostname --fqdn). Pomocí hostname -A vypíšete každé FQDN přiřazené k danému počítači.

Jedna výhrada u serverů: tyto příkazy hlásí, jaké jméno si počítač sám o sobě myslí, že má, na základě lokální konfigurace. To nemusí být vždy to, co říká veřejné DNS, ani to, co váš poštovní server ohlašuje okolnímu světu. U čehokoli, co míří na internet, ověřte, že se jméno přeloží ve veřejném DNS, místo abyste spoléhali jen na lokální název hostitele.

Jak FQDN ovlivňuje doručitelnost e-mailů?

Pro většinu lidí jsou FQDN nenápadným síťovým detailem v pozadí. Pro každého, kdo provozuje e-mail nebo řeší jeho potíže, se objevují na třech místech, která ovlivňují, zda pošta dorazí do schránky.

HELO/EHLO vašeho poštovního serveru by mělo být FQDN

Když se jeden poštovní server připojí k druhému, představí se pozdravem HELO nebo EHLO, který obsahuje název hostitele. Přijímající servery očekávají, že tento název bude řádné, přeložitelné FQDN, jako například mail.yourdomain.com. Pozdrav localhost, IP adresa nebo jméno, které se nepřeloží, působí jako špatně nakonfigurovaná infrastruktura a může poštu posunout směrem ke spamu, i když SPF, DKIM i DMARC projdou. Podrobný rozbor tohoto handshaku najdete v článku EHLO a HELO vysvětleno.

FQDN a reverzní DNS (PTR / FCrDNS)

Provozovatelé schránek také kontrolují reverzní DNS: odesílající IP adresa by měla mít PTR záznam, který ukazuje na FQDN, a toto FQDN by se mělo přeložit zpět na stejnou IP. Tomuto okruhu se říká forward-confirmed reverse DNS (FCrDNS) a chybějící nebo neodpovídající PTR záznam je častým důvodem, proč se hromadná pošta filtruje. Chcete-li vidět, jak vypadá širší e-mailové nastavení vaší domény včetně autentizace, spusťte níže bezplatnou kontrolu:

FQDN, SPF a DMARC

Na plně kvalifikovaných názvech stojí i autentizace. SPF může kromě domény MAIL FROM vyhodnocovat i identitu HELO a každý zúčastněný záznam je publikován proti FQDN. DMARC sám kontroluje zarovnání (alignment) na viditelné doméně From, takže úhledné FQDN nezpůsobí, že nezarovnaná doména projde. Co odstraňuje, je šum z podpůrných signálů, který v souhrnných reportech DMARC zaplevelí výpis vedle skutečných selhání autentizace: chybějící PTR záznamy, nepřeložitelné názvy hostitelů a neočekávané odesílající hostitele. Pokud zrovna třídíte, co je co, článek DMARC vs. DKIM vs. SPF rozebírá, jak tyto tři dohromady zapadají.

Jak vám pomůže DMARCeye

Problémy s FQDN na vaší vlastní infrastruktuře se málokdy ohlásí přímo. Vyplynou na povrch jako selhání autentizace, neočekávané zdroje odesílání nebo podivný provoz ve vašich DMARC reportech. DMARCeye čte vaše souhrnné DMARC reporty a koreluje je s IP adresami a názvy hostitelů, které odesílají jako vaše doména, abyste mohli odhalit špatně nakonfigurovaný nebo nerozpoznaný zdroj, přiřadit selhání ke konkrétní infrastruktuře a potvrdit, že oprava skutečně zlepšila autentizaci a doručitelnost.

FQDN je drobný detail, ale právě podle něj internet i každý přijímající poštovní server pozná, s kterým hostitelem přesně komunikuje. Mít názvy hostitelů plně kvalifikované a přeložitelné je jeden z levnějších způsobů, jak udržet vaši poštu důvěryhodnou.