O DNS (Domain Name System) é a espinha dorsal da internet. Cada serviço que configuramos — email, web, autenticação, VPN — depende de registos DNS correctos. Este guia cobre os tipos de registos essenciais, como diagnosticar falhas e como configurar correctamente os registos de email (MX, SPF, DKIM e DMARC).

01
Tipos de Registos DNS

Cada registo DNS tem uma função específica. A confusão entre tipos é uma das causas mais frequentes de problemas de conectividade e email.

Tipo Nome Função Exemplo de Valor
A Address Mapeia domínio → IPv4 85.92.114.10
AAAA IPv6 Address Mapeia domínio → IPv6 2001:db8::1
CNAME Canonical Name Alias para outro nome de domínio www → empresa.pt
MX Mail Exchange Define servidores de email 10 mail.empresa.pt
TXT Text Dados arbitrários: SPF, DKIM, DMARC, verificações “v=spf1 …”
NS Name Server Servidores de nomes autoritativos da zona ns1.registar.pt
PTR Pointer DNS inverso: IP → nome (rDNS) 10.114.92.85.in-addr.arpa
SOA Start of Authority Informação da zona DNS (serial, refresh, retry) ns1.registar.pt admin…
SRV Service Localização de serviços (SIP, Teams, XMPP) 0 5 443 sipdir…lync.com
CAA Cert. Authority Auth. Autoriza CAs a emitir certificados SSL/TLS 0 issue “letsencrypt.org”

⚠️

CNAME e MX/NS não se misturam

Um registo CNAME não pode coexistir com outros registos no mesmo nome. Nunca uses um CNAME na raiz do domínio (@) — usa sempre um registo A ou AAAA directo. Também não é possível ter CNAME e MX no mesmo subdomínio.

02
TTL — Time To Live

O TTL define quantos segundos os resolvers DNS podem fazer cache de um registo. Um TTL mal ajustado pode causar problemas de propagação que aparentam falhas de configuração.

300
5 min — Antes de migrações
3600
1 hora — Operação normal
86400
24 horas — Registos estáticos

💡

Boa prática — Migrações

Antes de qualquer migração de serviço, baixa o TTL para 300s com 24 a 48 horas de antecedência. Quando fizeres a mudança, a propagação será quase imediata. Após estabilizar, volta ao TTL original.

03
Registos de Email: MX, SPF, DKIM, DMARC

A entregabilidade de email depende de quatro tipos de registos que trabalham em conjunto. A ausência ou erro em qualquer um pode resultar em mensagens em spam ou rejeição total.

MX

Define qual o servidor que aceita email. Prioridade mais baixa = servidor preferido.

Tipo: MX

SPF

Lista os IPs e servidores autorizados a enviar email em nome do domínio.

Tipo: TXT

DKIM

Assinatura criptográfica que garante que o conteúdo não foi alterado em trânsito.

Tipo: TXT / CNAME

DMARC

Política de actuação quando SPF ou DKIM falham. Define o que fazer e para onde reportar.

Tipo: TXT

Registo MX

Zona DNS — MX
; Prioridade mais baixa = servidor preferido
empresa.pt.  IN  MX  10  mail1.empresa.pt.
empresa.pt.  IN  MX  20  mail2.empresa.pt.  ; backup

; Microsoft 365
empresa.pt.  IN  MX  0   empresa-pt.mail.protection.outlook.com.

Registo SPF

TXT — SPF
; Apenas Microsoft 365
empresa.pt.  IN  TXT  "v=spf1 include:spf.protection.outlook.com ~all"

; Microsoft 365 + servidor On-Premises
empresa.pt.  IN  TXT  "v=spf1 include:spf.protection.outlook.com ip4:85.92.114.10 ~all"

;  -all  → rejeitar (fail)        — mais restritivo
;  ~all  → marcar spam (softfail)  — recomendado inicialmente
;  ?all  → neutro                  — não recomendado

🚫

Limite de 10 lookups DNS no SPF

O RFC 7208 limita a 10 os mecanismos que requerem lookup DNS (include:, a, mx, ptr). Exceder este limite causa permerror e pode resultar em rejeição de email. Usa ip4: sempre que possível.

Registo DKIM

CNAME — DKIM (Microsoft 365)
; Os CNAMEs são criados pelo admin — a Microsoft gere as chaves privadas
selector1._domainkey.empresa.pt.  CNAME  selector1-empresa-pt._domainkey.empresa.onmicrosoft.com.
selector2._domainkey.empresa.pt.  CNAME  selector2-empresa-pt._domainkey.empresa.onmicrosoft.com.

; Servidor próprio (ex: Postfix + opendkim) — registo TXT directo
mail._domainkey.empresa.pt.  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

Registo DMARC

TXT — DMARC (implementação faseada)
; Fase 1 — monitorização (sem acção, apenas relatórios)
_dmarc.empresa.pt.  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]"

; Fase 2 — quarentena para 25% do tráfego
_dmarc.empresa.pt.  TXT  "v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]"

; Fase 3 — rejeição total
_dmarc.empresa.pt.  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]"

;  p=   → política: none | quarantine | reject
;  pct= → % de mensagens afectadas (0-100)
;  rua= → relatórios agregados diários (XML)
;  ruf= → relatórios forenses por mensagem

04
Diagnóstico e Troubleshooting

A maioria dos problemas de DNS segue um padrão previsível. Este fluxo cobre os cenários mais comuns em ambiente empresarial.

1
Confirmar que o problema é DNS

Testa com IP directo. Se funciona por IP mas não por nome, é DNS. Se não funciona por IP, o problema está noutro componente (firewall, serviço, routing).

2
Verificar qual o resolver em uso

Usa dig, nslookup ou Resolve-DnsName apontando para o resolver correcto. Compara com um resolver público (8.8.8.8 ou 1.1.1.1).

3
Consultar o servidor autoritativo directamente

Identifica os NS do domínio e consulta-os directamente. Se o autoritativo tem a resposta certa mas os resolvers não, é problema de propagação ou cache.

4
Verificar o TTL da cache

Um registo recentemente alterado pode ainda estar em cache. Aguarda o TTL anterior expirar ou força flush nos clientes e servidores DNS locais.

5
Verificar split-DNS

Em ambientes híbridos ou AD, o mesmo domínio pode resolver de forma diferente dentro e fora da rede. Confirma qual o servidor DNS que está a responder.

Comandos — Linux / macOS

dig
# Consulta básica
dig empresa.pt
dig empresa.pt MX
dig _dmarc.empresa.pt TXT

# Consultar servidor específico
dig @8.8.8.8 empresa.pt A
dig @1.1.1.1 empresa.pt MX

# Consultar NS autoritativos directamente
dig NS empresa.pt
dig @ns1.registar.pt empresa.pt MX

# DNS reverso (PTR)
dig -x 85.92.114.10

# Resposta compacta / trace completo
dig +short empresa.pt MX
dig +trace empresa.pt

Comandos — Windows (PowerShell)

Resolve-DnsName / ipconfig
# Consulta básica
Resolve-DnsName empresa.pt
Resolve-DnsName empresa.pt -Type MX
Resolve-DnsName _dmarc.empresa.pt -Type TXT

# Servidor específico
Resolve-DnsName empresa.pt -Server 8.8.8.8 -Type A

# Limpar cache DNS local
Clear-DnsClientCache
ipconfig /flushdns

# Ver cache DNS actual
Get-DnsClientCache | Where-Object { $_.Name -like "*empresa*" }

Sequência de verificação de email

dig — Auditoria completa de email
# 1. MX
dig +short empresa.pt MX
# Esperado (M365): 0 empresa-pt.mail.protection.outlook.com.

# 2. SPF
dig +short empresa.pt TXT | grep spf
# Esperado: "v=spf1 include:spf.protection.outlook.com ~all"

# 3. DKIM
dig +short selector1._domainkey.empresa.pt CNAME
dig +short selector2._domainkey.empresa.pt CNAME

# 4. DMARC
dig +short _dmarc.empresa.pt TXT
# Esperado: "v=DMARC1; p=reject; ..."

# 5. PTR (rDNS do IP de envio)
dig -x 85.92.114.10 +short
# Sem PTR → alto risco de classificação como spam

05
Ferramentas de Diagnóstico Online

Ferramenta URL Utilidade
MXToolbox mxtoolbox.com/SuperTool.aspx Análise MX, SPF, DKIM, DMARC, blacklists
DMARC Analyser dmarcanalyzer.com Validação e análise de relatórios DMARC
Google Admin Toolbox toolbox.googleapps.com/apps/checkmx Verificação do ponto de vista dos servidores Google
Mail-tester mail-tester.com Score de entregabilidade com envio de email real
dnschecker.org dnschecker.org Propagação global em múltiplos resolvers simultâneos
M365 Defender — DKIM security.microsoft.com Activar e rodar selectores DKIM no portal M365

06
Checklist de Verificação

Usa esta lista como referência rápida ao auditar ou migrar um domínio.

DNS Geral

Registo A aponta para o IP correcto e actualizado
Registo PTR (rDNS) configurado no ISP para o IP de envio de email
Sem CNAMEs na raiz do domínio (@)
TTL ajustado antes de migrações (≤ 300s com 24-48h de antecedência)
Registos NS apontam para os nameservers correctos do registar
Registo CAA configurado para limitar emissão de certificados

Email

Registo MX presente com prioridade correcta e sem conflitos
Registo SPF único (um só TXT com v=spf1), sem exceder 10 lookups DNS
Registos DKIM activos e validados (selector1 e selector2 para M365)
Registo DMARC presente em _dmarc.dominio.pt
Política DMARC em p=reject após fase de monitorização concluída
Endereço rua= activo e a receber relatórios agregados diários

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário