DNS4EU: o resolvedor DNS europeu (DoH/DoT), perfis e configuração
Por CaptainDNS
Publicado em 7 de janeiro de 2026
- #DNS
- #DNS4EU
- #Resolvedor DNS
- #Privacidade
- #Segurança
- #Controle parental
- #DoH
- #DoT
- 📢 DNS4EU é um resolvedor DNS público europeu (lançado em 2025) com 5 variantes e endpoints criptografados (DoH/DoT).
- Para uma rede familiar, comece com Protective + Child Protection; o anti-anúncios é útil, mas pode quebrar sites/apps.
- Implante no roteador (IPv4 + IPv6) para cobrir toda a rede e depois trate os desvios (DoH do navegador, DNS alternativos).
- Verifique com
dig/nslookup+ um teste de vazamento DNS e mantenha um plano de contingência documentado (perfil Unfiltered ou DNS alternativo).
Trocar o resolvedor DNS não é apenas "navegar mais rápido" na Internet. É também decidir quem vê suas consultas DNS, onde elas são processadas e se um filtro (segurança, conteúdo, anúncios) é aplicado antes mesmo da conexão ao site.
Na série sobre resolvedores DNS públicos (Google 8.8.8.8, Cloudflare (1.1.1.1), CleanBrowsing DNS,...), o DNS4EU tem um ângulo particular: é uma alternativa operada sob jurisdição europeia, com perfis de proteção e filtragem prontos para uso.
Objetivo: oferecer um guia concreto para escolher a variante DNS4EU certa, instalar no lugar adequado (roteador vs dispositivos), verificar se realmente funciona e evitar armadilhas (IPv6, DoH do navegador, anti-anúncios muito agressivo).
DNS4EU: o que é e por que existe
O DNS4EU oferece um resolvedor DNS público (recursivo): você envia suas consultas DNS, ele resolve nomes de domínio e devolve respostas (com cache). A diferença para um "DNS público clássico" é principalmente o posicionamento:
- Jurisdição europeia: processamento anunciado dentro do espaço digital europeu.
- Perfis: 5 variantes prontas para uso (proteção, crianças, anti-anúncios, etc.).
- DNS criptografado: endpoints DoT (TLS) e DoH (HTTPS) para todas as variantes.
- DNSSEC: validação anunciada no resolvedor (integridade das respostas).
Atualidade 2025: lançamento do serviço público DNS4EU
O serviço público DNS4EU foi lançado oficialmente em junho de 2025. Para um admin ou um "não tão geek", isso significa: endereços estáveis, documentação, página de teste e uma política pública que descreve o enfoque de privacidade/filtragem.
Mais casa/família... do que "DNS corporativo"
O DNS4EU distingue várias ofertas. Aqui falamos do DNS4EU Public Service.
Pontos-chave:
- O serviço público é anunciado como destinado a cidadãos e não a uso comercial.
- Limite informado: 1.000 consultas DNS/s por IP; acima disso, as consultas podem ser rejeitadas (não indicado para altos volumes).
- Fora da UE, ainda funciona, mas a infraestrutura é otimizada principalmente para a Europa (latência variável).
- Se você é uma organização (PME, órgão público, operador), o DNS4EU aponta para ofertas dedicadas (governo, telco, enterprise).
👉 Conclusão operacional:
- Casa / família: excelente candidato se você quer proteção simples em nível DNS, com opção de controle parental.
- PME: interessante para testar ou uso bem leve, mas não assuma que "DNS público = DNS corporativo". Se você tem domínios internos, split-horizon, requisitos de conformidade ou volumes altos, escolha uma solução adequada.
As 5 variantes DNS4EU: escolher o perfil certo
O DNS4EU oferece 5 variantes. Todas existem em IPv4/IPv6 e com endpoints criptografados (DoH/DoT).
| Variante | O que bloqueia? | Quando escolher |
|---|---|---|
| Protective | domínios maliciosos/fraudulentos (phishing, malware, golpes...) | base de segurança para toda a casa |
| Protective + Child Protection | protective + categorias inadequadas para crianças | rede familiar com crianças |
| Protective + Ad Blocking | protective + bloqueio de domínios publicitários | reduzir anúncios/trackers (com risco de quebra) |
| Protective + Child + Ad Blocking | crianças + anti-anúncios combinados | útil, mas mais frágil: testes obrigatórios |
| Unfiltered | sem filtragem | DNS4EU "neutro" ou variante de contingência |
Regra de ouro: não misture variantes em DNS1/DNS2
Evite o clássico "DNS1 filtrante / DNS2 não filtrante". Dependendo do SO, da latência e dos timeouts, as consultas vão para um ou outro: sua filtragem vira aleatória.
Se você escolher uma variante DNS4EU, coloque as duas IPs da mesma variante (e faça o mesmo em IPv6 se sua rede usar).
Endereços DNS4EU: resumo (IPv4/IPv6/DoH/DoT)
Você pode copiar e colar. Cada variante tem 2 IPs (redundância) em IPv4 e IPv6.
-
Protective
- IPv4 :
86.54.11.1,86.54.11.201 - IPv6 :
2a13:1001::86:54:11:1,2a13:1001::86:54:11:201 - DoT :
protective.joindns4.eu - DoH :
https://protective.joindns4.eu/dns-query
- IPv4 :
-
Protective + Child Protection
- IPv4 :
86.54.11.12,86.54.11.212 - IPv6 :
2a13:1001::86:54:11:12,2a13:1001::86:54:11:212 - DoT :
child.joindns4.eu - DoH :
https://child.joindns4.eu/dns-query
- IPv4 :
-
Protective + Ad Blocking
- IPv4 :
86.54.11.13,86.54.11.213 - IPv6 :
2a13:1001::86:54:11:13,2a13:1001::86:54:11:213 - DoT :
noads.joindns4.eu - DoH :
https://noads.joindns4.eu/dns-query
- IPv4 :
-
Protective + Child + Ad Blocking
- IPv4 :
86.54.11.11,86.54.11.211 - IPv6 :
2a13:1001::86:54:11:11,2a13:1001::86:54:11:211 - DoT :
child-noads.joindns4.eu - DoH :
https://child-noads.joindns4.eu/dns-query
- IPv4 :
-
Unfiltered
- IPv4 :
86.54.11.100,86.54.11.200 - IPv6 :
2a13:1001::86:54:11:100,2a13:1001::86:54:11:200 - DoT :
unfiltered.joindns4.eu - DoH :
https://unfiltered.joindns4.eu/dns-query
- IPv4 :
Privacidade: o que o DNS4EU melhora... e o que o DNS não pode esconder
O DNS4EU destaca um enfoque centrado na privacidade (IP anonimizado antes dos logs, política pública, conformidade com GDPR). É um plus real frente a resolvedores cujo modelo é dado.
Mas lembre uma regra simples:
- DNS criptografado (DoH/DoT) protege a consulta contra escuta/alteração na rede entre você e o resolvedor.
- Porém, o resolvedor ainda vê os domínios que você resolve (senão não poderia responder).
Portanto:
- você reduz a exposição a atores locais (Wi-Fi, proxy, interceptação);
- você transfere confiança para o provedor DNS (aqui, DNS4EU).
Do53, DoT, DoH: escolher o transporte DNS com DNS4EU
Antes de falar em "melhor DNS", deixe claro o transporte:
- Do53: DNS clássico em UDP/TCP 53. Simples, universal, mas não criptografado na rede local.
- DoT (DNS-over-TLS): DNS criptografado via TLS (geralmente TCP/853). Muito útil no Android (DNS privado) e em alguns SO.
- DoH (DNS-over-HTTPS): DNS criptografado dentro de HTTPS (TCP/443). Muito comum em navegadores, geralmente mais tolerante em redes filtrantes.
Decisão rápida
- Roteador/box: Do53 é o mais simples. Cubra IPv4 e IPv6.
- Dispositivos móveis: DoT no nível do SO costuma ser o melhor compromisso (coerente, fácil de diagnosticar).
- Navegadores: DoH é útil, mas também pode contornar seu DNS de rede se o navegador permanecer configurado em outro provedor.
Configuração: 3 cenários concretos (roteador, mobile, navegador)
Cenário 1: Roteador/box - cobrir toda a casa
Objetivo: todos os dispositivos da LAN (Wi-Fi, TV, consoles, convidados) usam DNS4EU.
- Escolha a variante (ex.: Protective + Child Protection).
- No roteador/box, substitua os DNS pelos dois IPv4 correspondentes.
- Se sua rede usa IPv6, inclua também os dois IPv6 (caso contrário, pode haver vazamento).
- Renove o DHCP (Wi-Fi off/on, reinício) e teste.
Exemplo "Protective + Child Protection":
- IPv4 :
86.54.11.12e86.54.11.212 - IPv6 :
2a13:1001::86:54:11:12e2a13:1001::86:54:11:212
Cenário 2: Android - DoT via "DNS privado"
Objetivo: criptografar o DNS no telefone, mesmo fora de casa.
No Android: Configurações → Rede e Internet → DNS privado → "Nome do host do provedor".
Informe o hostname DoT da sua variante:
- Protective :
protective.joindns4.eu - Child :
child.joindns4.eu - NoAds :
noads.joindns4.eu - Child+NoAds :
child-noads.joindns4.eu - Unfiltered :
unfiltered.joindns4.eu
Cenário 3: Navegadores - DoH, se você controla
Objetivo: evitar escuta/redirecionamento DNS em redes "opacas" ou impedir que o navegador use outro DNS.
Use a URL DoH da sua variante:
- Protective :
https://protective.joindns4.eu/dns-query - Child :
https://child.joindns4.eu/dns-query - NoAds :
https://noads.joindns4.eu/dns-query - Child+NoAds :
https://child-noads.joindns4.eu/dns-query - Unfiltered :
https://unfiltered.joindns4.eu/dns-query
Armadilha clássica: você configura DNS4EU no roteador, mas o navegador força DoH para outro provedor. Resultado: filtragem incoerente e diagnóstico difícil.
Verificar se DNS4EU está realmente em uso (e diagnosticar)
Não confie em "a Internet funciona". Verifique o resolvedor e a variante.
Teste rápido com dig / nslookup
Com dig:
# Exemplo: consultar explicitamente a variante Protective
dig @86.54.11.1 www.captaindns.com A +tries=1 +time=2
Com nslookup:
nslookup captaindns.com
No Linux com systemd-resolved:
resolvectl status
Página de teste DNS4EU (perfil Protective)
O DNS4EU oferece uma página de teste: https://test.joindns4.eu.
- Se você está no perfil Protective, a página deve confirmar que você usa os resolvedores DNS4EU.
- Se estiver testando outra variante (Child/NoAds/Unfiltered), prefira o teste de vazamento DNS e
dig/nslookup.
Verificar se não há "vazamento DNS" ou interceptação
Uma rede (Wi-Fi público, hotspot, rede corporativa) pode interceptar/redirecionar DNS. O sintoma típico: suas configurações estão corretas, mas os resolvedores vistos "de fora" não correspondem.
Método simples:
- faça um teste de vazamento DNS (modo "Extended");
- verifique se as IP observadas correspondem ao DNS4EU;
- confira também o DoH do navegador (alguns navegadores contornam o DNS do sistema).
Se não funcionar: 4 causas comuns
- Cache DNS (SO/navegador): limpe + reinicie a rede.
- IPv6 não coberto: IPv4 no DNS4EU, mas IPv6 resolve em outro lugar.
- DoH do navegador ativo: o navegador contorna sua configuração do sistema.
- Anti-anúncios agressivo demais: teste sem ad blocking para isolar.
Armadilhas e boas práticas (versão curta)
- Não misture variantes em DNS1/DNS2.
- Cubra IPv6 se você usa (senão, vazamento e inconsistência).
- Decida onde controlar o DNS criptografado: SO, roteador, navegador.
- Anti-anúncios: teste primeiro em um dispositivo piloto + plano de contingência.
- PME / nomes internos: sem split-horizon, um DNS público quebra nomes privados.
Implantar DNS4EU sem erros
- Escolher a variante
- Casa: comece com Protective (ou Child se houver crianças).
- Adicione Ad Blocking apenas se puder testar e corrigir (risco de quebra).
- Configurar no roteador (DNS1 + DNS2) e cobrir IPv6
- Defina as duas IPs da mesma variante em IPv4.
- Se tiver IPv6, configure também os DNS IPv6 correspondentes.
- Tratar dispositivos fora de casa
- Android: configure DNS privado (DoT) com o hostname da variante.
- PC: verifique o "Secure DNS" (DoH) do navegador para evitar desvios.
- Verificar e documentar
- Teste com
dig/nslookup+ um teste de vazamento DNS. - Registre a variante, os endereços e o procedimento de rollback.
- Teste com
- Planejar contingência
- Mantenha uma opção Unfiltered (DNS4EU) ou um DNS alternativo pronto para diagnosticar sem improviso.
Alternativas, se o DNS4EU não for adequado
- Segurança (phishing/malware) sem filtro de conteúdo/anúncios: Quad9 (9.9.9.9).
- Anti-anúncios/anti-tracking com foco em privacidade: AdGuard DNS.
- Perfis altamente personalizados (listas, horários, dispositivos): NextDNS (ou controle DNS local tipo Pi-hole).
- Performance bruta: Cloudflare ou Google (com o compromisso de "jurisdição/coleta" adequado à sua estratégia).
FAQ
DNS4EU é obrigatório para cidadãos europeus?
Não. DNS4EU é um serviço voluntário: você pode escolher outro resolvedor DNS a qualquer momento. O objetivo declarado é oferecer uma alternativa, não impor um DNS único.
DNS4EU: mais DNS familiar ou corporativo?
O serviço público mira o uso individual (casa). Para organizações, o DNS4EU informa que o serviço público não é otimizado para grandes volumes e aponta para ofertas dedicadas.
Qual variante escolher para proteger crianças?
Comece com Protective + Child Protection. Adicione anti-anúncios só se puder testar, pois alguns apps/sites podem reagir mal a domínios bloqueados.
DoH ou DoT: qual escolher com DNS4EU?
Se o seu SO suportar, DoT costuma ser mais fácil de diagnosticar (Android "DNS privado"). DoH é útil em navegadores e redes que filtram 853, mas atenção: pode contornar o DNS do roteador.
DNS4EU torna a navegação anônima?
Não. DNS criptografado (DoH/DoT) protege o tráfego DNS na rede, mas o resolvedor ainda vê os domínios que você resolve. A ideia é reduzir a exposição local e ter uma política mais protetora.
Por que alguns sites/apps quebram com anti-anúncios?
O DNS bloqueia alguns domínios de anúncios/trackers. Se um site ou app depende desses domínios (ou detecta ad blocking), pode não carregar. Teste a variante sem anti-anúncios ou mantenha uma contingência (Unfiltered ou outro DNS).
Como verificar se estou no DNS4EU e não interceptado?
Faça um dig/nslookup e complemente com um teste de vazamento DNS: você deve ver IPs de resolvedores DNS4EU. Verifique também o DoH do navegador, que pode contornar a configuração do sistema.
Glossário
- Resolvedor DNS (recursivo): servidor que resolve nomes de domínio e armazena respostas em cache.
- Do53: DNS clássico em UDP/TCP porta 53 (sem criptografia).
- DoT (DNS-over-TLS): DNS criptografado via TLS (geralmente porta 853).
- DoH (DNS-over-HTTPS): DNS criptografado encapsulado em HTTPS (porta 443).
- Anycast: a mesma IP anunciada a partir de vários sites; o roteamento geralmente envia você para um nó próximo.
- DNSSEC: assinaturas das zonas DNS que permitem ao resolvedor validar a autenticidade das respostas.
- Split-horizon: resolução DNS diferente por rede (ex.: domínios internos na empresa).
- Teste de vazamento DNS: teste que revela quais resolvedores DNS seu dispositivo realmente usa.
