Os registos DNS (Domain Name System) são entradas na base de dados global da internet que traduzem nomes de domínio em endereços IP e definem como o tráfego é gerido para um determinado domínio. Graças a eles, o seu browser sabe a que servidor se ligar ao introduzir o endereço de um site. Neste artigo, explicamos o que são os registos DNS, quais são os seus tipos e para que servem.
Verifique os registos DNS do seu domínio
Pode verificar rapidamente os registos DNS de qualquer domínio usando a nossa ferramenta: DNS Lookup.
O que é o DNS?
O DNS (Domain Name System) é um sistema de nomenclatura distribuído que funciona como uma lista telefónica da internet. Quando introduz o endereço de um site no browser, o servidor DNS traduz esse nome no endereço IP do servidor ao qual o seu dispositivo se deve ligar. Sem DNS, teria de memorizar os endereços IP de cada site que visita.
~1 mld
domínios no mundo
< 100 ms
tempo típico de uma consulta DNS
13
principais servidores DNS raiz
UDP 53
porta DNS padrão
Como funciona uma consulta DNS?
Cada introdução de endereço no browser desencadeia uma série de consultas antes de o dispositivo se ligar ao servidor.
Browser
Verifica a cache DNS local. Se o endereço estiver guardado — resposta imediata.
Resolver do ISP
Se não houver cache, a consulta vai para o servidor DNS do seu fornecedor de internet.
Servidor Raiz
O resolver pergunta ao servidor DNS raiz a localização do servidor TLD (.com, .pt, etc.).
Servidor TLD
O servidor TLD remete para o servidor de nomes responsável pelo domínio em questão.
Servidor de nomes de domínio
Devolve o registo DNS específico com o endereço IP — a resposta chega ao browser.
Tipos de registos DNS
Cada tipo de registo DNS cumpre uma função diferente. Abaixo encontrará os mais populares.
example.com → 93.184.216.34
Aponta o domínio para um endereço IPv4. O registo DNS mais importante — sem ele, o site não funciona.
example.com → 2606:2800:220:1::93
Como um registo A, mas para endereços IPv6. Quatro A's do endereço de 128 bits (4×32 bits).
www.example.com → example.com
Alias que aponta para outro domínio. Frequentemente usado para o subdomínio www. Não pode coexistir com outros registos para o mesmo nome.
10 mail.example.com
Aponta para o servidor de correio que gere os e-mails do domínio. O número é a prioridade — menor significa servidor mais importante.
v=spf1 include:_spf.google.com ~all
Qualquer texto atribuído ao domínio. Usado para verificação de domínio, SPF, DKIM e DMARC.
ns1.example-dns.com
Aponta para os servidores de nomes responsáveis pela zona DNS do domínio. Normalmente existem pelo menos dois para redundância.
34.216.184.93.in-addr.arpa → example.com
O oposto de um registo A — traduz um endereço IP num nome de domínio. Usado em DNS reverso e verificação de servidores de correio.
Registo obrigatório para cada zona DNS. Contém informações sobre o servidor primário, o endereço de e-mail do administrador e os parâmetros de atualização da zona.
_sip._tcp.example.com 10 20 5060 sip.example.com
Aponta para o servidor e a porta de um serviço específico (por ex. VoIP, XMPP). Contém prioridade, peso e número de porta.
0 issue "letsencrypt.org"
Especifica quais autoridades de certificação (CA) podem emitir certificados SSL para o domínio. Aumenta a segurança HTTPS.
O que é o TTL?
O TTL (Time To Live) é o tempo em segundos durante o qual um registo DNS pode ser guardado em cache por resolvers e browsers. É crucial nas alterações de configuração DNS.
300
5 minutos — para alterações planeadas
3 600
1 hora — configuração padrão
86 400
24 horas — registos estáveis
Antes de alterar o DNS — reduza o TTL
Antes de migrar um servidor ou alterar um endereço IP, defina o TTL para 300 segundos com 24 a 48 horas de antecedência. Após a alteração, pode restaurar um TTL mais elevado. Caso contrário, o endereço antigo pode continuar a ser servido durante muitas horas.
Registos DNS e segurança do e-mail
Três registos TXT são essenciais para a autenticidade e a capacidade de entrega dos e-mails. A ausência de qualquer um deles pode fazer com que as suas mensagens acabem no spam.
SPF - Sender Policy Framework
Define a lista de servidores autorizados a enviar e-mails em nome do domínio. Protege contra a falsificação do remetente.
v=spf1 include:_spf.google.com ~all
DKIM - DomainKeys Identified Mail
Assinatura criptográfica adicionada aos e-mails, que permite ao destinatário verificar que a mensagem não foi modificada durante a transmissão.
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3...
DMARC - Domain-based Message Authentication
Combina SPF e DKIM, definindo uma política sobre o que fazer com um e-mail que não passe a verificação. Também permite a criação de relatórios.
v=DMARC1; p=quarantine; rua=mailto:[email protected]
Como verificar os registos DNS?
1 Ferramenta online
A forma mais conveniente — verifique qualquer registo sem instalar nada.
DNS Lookup2 Linux / macOS - terminal
dig example.com A dig example.com MX dig example.com TXT nslookup example.com
3 Windows - linha de comandos
nslookup -type=MX example.com Resolve-DnsName example.com -Type A
FAQ
A propagação DNS é o tempo necessário para atualizar os registos nos servidores de todo o mundo. Demora normalmente de alguns minutos a 48 horas, consoante o TTL do registo e a infraestrutura. Para acelerar a propagação, reduza o TTL para 300 segundos antes da alteração.
Um registo A aponta o domínio diretamente para um endereço IP. CNAME é um alias — aponta o domínio para outro domínio cujo endereço IP é depois resolvido. CNAME não pode ser usado para o domínio principal (apex), apenas para subdomínios.
A causa mais frequente é a ausência ou configuração incorreta dos registos SPF, DKIM ou DMARC. Verifique se o seu domínio tem os três registos corretamente configurados. Pode usar a nossa ferramenta DNS Lookup para os verificar.
O DNS reverso é o processo inverso ao padrão — em vez de traduzir um domínio em IP, traduz um endereço IP em domínio. Realizado através de registos PTR. Usado principalmente por servidores de correio para verificação do remetente e em diagnóstico de rede.
O DNSSEC (DNS Security Extensions) é uma extensão DNS que adiciona assinaturas criptográficas aos registos DNS. Protege contra ataques de DNS spoofing e cache poisoning, em que um atacante poderia redirecionar o tráfego para um servidor falso.