Back

Analisador de Registros DNS

DNS (Domain Name System) mapeia nomes de dominio para enderecos IP e configura o roteamento de email. Esta ferramenta analisa saida de arquivos de zona de dig ou BIND, analisa registros de autenticacao de email (SPF, DMARC, DKIM, BIMI) e avisa sobre configuracoes incorretas comuns.

Especificacoes

Casos de Uso Comuns

  • Analisar saida de comandos dig ou host para solucao de problemas
  • Auditar configuracao DNS do dominio antes da migracao
  • Verificar configuracao de autenticacao de email (SPF, DMARC, DKIM)
  • Depurar problemas de entregabilidade de email
  • Documentar registros DNS do dominio para conformidade
  • Verificar registros CAA antes de solicitar certificados SSL

Funcionalidades

  • Analisar saida de arquivo de zona BIND/dig
  • Exibir registros A, AAAA, NS, MX, TXT, CNAME, SOA, SRV, CAA, TLSA
  • Formatacao de TTL legivel por humanos (5m, 2h, 1d)
  • Detectar e analisar automaticamente registros SPF com explicacoes de mecanismos
  • Analisar politicas DMARC e configuracao de relatorios
  • Analise de registros DKIM (tipo de chave, seletor, validade, modo de teste)
  • Analise de registros BIMI (presenca de VMC, validade)
  • Suporte DNSSEC (registros DNSKEY, DS, RRSIG com expiracao)
  • Exibicao de TLSA/DANE certificate pinning
  • Validar contagem de consultas DNS SPF (max 10 por RFC 7208)
  • Avisar sobre configuracoes incorretas de autenticacao de email

Exemplos

Saida de Arquivo de Zona

Experimente →

Saida do dig mostrando varios tipos de registros.

example.com.             300     IN      A       192.0.2.1
example.com.             172800  IN      NS      ns1.example.com.
example.com.             172800  IN      NS      ns2.example.com.
example.com.             300     IN      MX      10 mail.example.com.
example.com.             300     IN      TXT     "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com.      300     IN      TXT     "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Registro SPF

Experimente →

Um registro SPF autorizando Google e Mailgun a enviar email.

v=spf1 include:_spf.google.com include:mailgun.org ip4:192.168.1.0/24 ~all

Registro DMARC

Experimente →

Uma politica DMARC rigorosa com relatorios agregados e forenses.

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; adkim=s; aspf=s; pct=100

Dicas

  • Obtenha todos os registros com: dig example.com ANY +noall +answer
  • SPF permite no maximo 10 consultas DNS. Use "include" com moderacao.
  • DMARC p=reject e o mais forte, mas comece com p=none e relatorios rua.
  • Registros CAA restringem quais CAs podem emitir certificados para seu dominio.
  • Registros TLSA habilitam DANE para verificacao de certificados.

Entendendo Analisador de Registros DNS

O Domain Name System (DNS) e o servico de diretorio da internet, traduzindo nomes de dominio legiveis por humanos em enderecos IP e fornecendo outros mapeamentos criticos. Registros DNS sao armazenados em arquivos de zona em nameservers autoritativos, cada um com um nome, tipo, classe, TTL (time to live) e dados especificos do tipo.

Os tipos de registro mais fundamentais lidam com resolucao de nomes. Registros A mapeiam um dominio para um endereco IPv4, registros AAAA mapeiam para IPv6. Registros CNAME criam aliases apontando um nome para outro. Registros NS delegam subdominios para nameservers especificos. Registros MX direcionam email para servidores de correio com um valor de prioridade. Registros SOA contem metadados da zona incluindo o nameserver primario e numero de serie.

Registros TXT carregam dados de autenticacao de email. Registros SPF (v=spf1 ...) especificam remetentes de email autorizados. Registros DMARC (v=DMARC1; ...) dizem aos receptores como lidar com falhas SPF/DKIM. Registros DKIM armazenam chaves publicas para verificacao de assinatura de email. Autenticacao de email mal configurada e uma causa principal de problemas de entregabilidade.

O valor TTL controla por quanto tempo resolvedores armazenam respostas em cache. TTLs altos (86400 segundos = 1 dia) reduzem trafego DNS mas tornam mudancas lentas para propagar. TTLs baixos (300 segundos = 5 minutos) habilitam atualizacoes rapidas mas aumentam o volume de consultas. Antes de migracoes, diminua os TTLs com antecedencia para que valores antigos expirem rapidamente.

DNS nao "propaga" realmente da forma que o termo implica. Quando um registro muda, resolvedores continuam servindo o valor antigo em cache ate que seu TTL expire, entao buscam o novo valor do servidor autoritativo. Se o TTL era 86400 (24 horas), pode levar ate 24 horas para a mudanca ser visivel em todos os lugares. Para acelerar mudancas, diminua o TTL com bastante antecedencia (por exemplo, para 300 segundos 48 horas antes da migracao), faca a atualizacao, entao aumente o TTL novamente depois.

Um registro A mapeia um dominio diretamente para um endereco IPv4, enquanto um CNAME cria um alias apontando para outro nome de dominio — o resolvedor segue a cadeia ate o registro A final. CNAMEs nao podem ser usados no apex da zona (dominio raiz como example.com) porque conflitam com os registros SOA e NS obrigatorios no apex. Alguns provedores DNS oferecem tipos de registro proprietarios ALIAS ou ANAME para contornar essa limitacao.

Configurar autenticacao de email envolve tres registros DNS. Para SPF, adicione um registro TXT com "v=spf1" seguido dos remetentes autorizados. Para DKIM, adicione um registro TXT em um subdominio de seletor contendo a chave publica fornecida pelo servico de email. Para DMARC, adicione um registro TXT em _dmarc.seudominio.com especificando a politica (none, quarantine ou reject) e um endereco de relatorio. Comecar com p=none permite monitorar o alinhamento antes de aplicar. Falhas SPF sao comumente causadas por exceder o limite de 10 consultas DNS, esquecer de autorizar um servico de envio, usar -all (falha rigida) antes de todos os remetentes serem verificados, ou ter multiplos registros SPF no mesmo dominio — apenas um registro v=spf1 e permitido, e multiplos registros causam um erro permanente.

← Voltar para todas as ferramentas