O Domain Name System (DNS) direciona os usuários do endereço de um domínio para o IP dos servidores que o domínio utiliza. Saiba mais sobre o DNS e os tipos de registro que ele contém, incluindo MX, SPF, DKIM, DMARC e NS.
O que você precisa saber sobre o Domain Name System e os tipos de registro que ele contém
A internet usa o DNS (Domain Name System) para direcionar os usuários do endereço de um domínio até o IP dos servidores que esse domínio utiliza. O DNS costuma ser comparado a uma lista telefônica da internet: quando um domínio troca de serviço, a lista é atualizada. O DNS reúne vários tipos de registro relacionados aos serviços em uso, como entrega de e-mails (MX), quais provedores estão autorizados a enviar mensagens em nome de um domínio (SPF) e assinaturas digitais que comprovam que a mensagem não foi adulterada durante a entrega (DKIM). Já os registros de nameserver (NS) apontam o servidor ou serviço que hospeda todos os registros DNS de um domínio. Por design, esses registros DNS são públicos e, com frequência, podem causar problemas na entrega de e-mails.
Registros MX
Os registros MX (Mail Exchange) dizem aos remetentes para onde as mensagens devem ser entregues. A boa prática é publicar apenas um serviço MX no DNS. Publicar vários provedores MX concorrentes para o mesmo domínio pode gerar problemas. Por exemplo, se um servidor de e-mail estiver ocupado processando mensagens, elas podem ser direcionadas para outro registro MX, que talvez pertença a um provedor totalmente diferente. Isso também pode resultar em regras e fluxos de e-mail conflitantes, que conduzem a mensagem por caminhos distintos até chegar à caixa de entrada do destinatário.
Um exemplo de registros MX do Google configurados corretamente:
Registros SPF
Os registros SPF (Sender-Policy Framework) definem quais provedores de e-mail têm permissão para enviar mensagens usando o endereço de um domínio. Esse tipo de registro TXT é uma medida básica de segurança contra spoofing — quando um agente mal-intencionado envia mensagens que parecem vir de um contato ou domínio conhecido. Ao receber uma mensagem, o provedor de e-mail verifica o cabeçalho para confirmar que ela foi enviada por um serviço autorizado a enviar em nome do domínio, usando o nome do domínio no campo "from". A boa prática é manter 10 consultas DNS ou menos (incluindo subconsultas) em um registro SPF. Existem técnicas que permitem mais de 10 provedores de e-mail enviarem em nome de um domínio (mas isso foge ao escopo deste artigo).
Um exemplo de registros SPF do Google Workspace configurados corretamente:
Registros DKIM
Os registros DKIM (DomainKeys Identified Mail) são um tipo de assinatura digital aplicada aos cabeçalhos do e-mail, permitindo que o remetente assuma a responsabilidade pela mensagem de uma forma que pode ser validada pelos destinatários. Toda mensagem enviada por um serviço de e-mail leva a assinatura DKIM como prova de que não foi adulterada durante o processo de entrega. Os registros DKIM devem ser configurados para cada serviço listado no registro SPF.
Um exemplo de registros DKIM do Google Workspace:
Registros DMARC
Um quarto tipo de registro é o DMARC (Domain-based Message Authentication Reporting and Conformance). Esse registro DNS orienta os servidores de e-mail de destino sobre como tratar mensagens enviadas a partir de um domínio quando elas falham nas verificações de SPF e/ou DKIM. O DMARC foge ao escopo deste artigo, mas é importante levá-lo em conta ao adotar as melhores práticas de segurança de e-mail.
Um exemplo de registros DMARC do Google Workspace:
Registros NS
Os registros NS (nameserver) apontam o serviço que hospeda todos os registros DNS de um domínio. É comum publicar vários registros NS do mesmo provedor para garantir redundância. Os nameservers mudam quando você move um domínio entre provedores de hospedagem DNS, e esse tipo de alteração pode levar várias horas para se concluir, conforme as mudanças se propagam pela internet. O novo provedor de DNS precisa ser configurado com os registros mencionados anteriormente. Se isso não for feito, os registros DNS já existentes podem ser removidos das consultas DNS públicas, causando problemas na entrega de e-mails.
Um exemplo de registros NS (Nameserver) do DNS:
Para mais informações sobre registros DNS, confira os artigos abaixo: