Onde encontro o meu registo SPF?

O registo SPF é um TXT na raiz do domínio (@). Começa com v=spf1 e lista os servidores autorizados a enviar emails pelo seu domínio.

Como verifico um registo DKIM?

O registo DKIM é um TXT em selector._domainkey.seudominio.com. O seletor depende do seu fornecedor de email. Procure v=DKIM1 no valor.

Onde está o meu registo DMARC?

O registo DMARC é um TXT em _dmarc.seudominio.com. Começa com v=DMARC1 e define a política para emails que falham SPF ou DKIM.

Posso ter múltiplos registos TXT?

Sim, pode ter múltiplos TXT no mesmo nome. No entanto, para SPF, deve ter apenas UM registo que comece com v=spf1. Múltiplos SPF causam falhas.

O meu TXT está truncado, porquê?

Os registos TXT com mais de 255 caracteres são divididos em múltiplas strings. Isto é normal. O resolvedor recombina-os automaticamente.

Como removo um token de verificação antigo?

Uma vez completada a verificação, pode eliminar o TXT temporário da sua interface DNS. Mantenha sempre os seus registos SPF, DKIM e DMARC.

Pesquisa registo TXT

Verifique SPF, DKIM, DMARC e as suas configurações textuais

Problemas de autenticação de email? Verifique se os seus registos TXT para SPF, DKIM e DMARC estão corretamente publicados e propagados.

Host

Tipo

Resolvedor

Rastreamento iterativo

No modo de rastreamento iterativo, o resolvedor é ignorado.

Teste de propagação

Consulta vários resolvedores públicos para comparar as respostas.

SPF, DKIM, DMARC

Mostre os registos de autenticação de email. Identifique rapidamente erros de sintaxe ou registos em falta.

Verificações de domínio

Consulte os tokens de verificação (Google, Microsoft, etc.) publicados na sua zona DNS.

Sintaxe completa

Visualize o valor completo de cada TXT, mesmo registos longos com concatenação.

Multi-resolvedor

Compare as respostas do Google, Cloudflare, Quad9 para detetar problemas de propagação.

Gratuito e ilimitado

Teste quantos domínios precisar. Sem registo necessário.

Como utilizar corretamente as diferentes opções do motor de pesquisa DNS?

O que é a traçado iterativa?

A traçado executa a resolução passo a passo. O resolvedor consulta primeiro os servidores raiz, depois os do TLD (.com, .br, .pt) e, por fim, os servidores autoritativos da zona pretendida. Em cada etapa, a página mostra o servidor consultado, a resposta, o RCODE e a latência.

1. Raiz
Descoberta dos servidores do TLD para o nome solicitado.
2. TLD
Referência aos NS da zona (delegação).
3. Autoritativos
Resposta final (ou erro) com TTL e latência.

Para que serve?

Comparar respostas entre resolvedores e regiões
Detetar um cache quente, um TTL demasiado longo ou uma delegação incompleta
Explicar diferenças de latência ou um RCODE inesperado

Dica: deixe a traçado desativada para verificações rápidas; ative-a durante investigações ou para preparar um ticket/post-mortem.

O que é a traçado clássica?

A traçado clássica consulta apenas o resolvedor selecionado (UDP ou DoH) e mostra a resposta tal como é percecionada a partir desse ponto da rede. Obtém o RCODE, as secções da resposta e a latência do percurso cliente → resolvedor.

1. Resolvedor escolhido
Use o preset ou a configuração personalizada para lançar a consulta exatamente como o seu serviço faria.
2. Protocolo preservado
Respeita o transporte selecionado (UDP, TCP ou DoH) para reproduzir o comportamento real.
3. Resposta detalhada
Mostra as secções question, answer e authority/additional quando existirem, com TTL e metadados úteis.

Porque utilizá-la?

Verificar a visão de um resolvedor específico antes de suspeitar de delegação
Confirmar valores em cache e o impacto de um TTL ou de um flush
Documentar uma resolução tal como a vê um cliente ou microserviço

Dica: mantenha a traçado iterativa desativada quando auditar um resolvedor específico; ative-a depois para comparar com o percurso raiz → TLD → autoritativo.

Como funciona o teste de propagação?

O teste consulta em paralelo um conjunto de resolvedores públicos (Google, Cloudflare, Quad9, OpenDNS, ISP…) e agrupa as respostas por conteúdo e RCODE. Vê imediatamente quem já aplicou a atualização.

1. Resolvedores multiponto
Ative os presets de propagação para consultar vários atores distribuídos pelo mundo.
2. Comparação automática
Agrupa respostas idênticas e assinala divergências ou erros específicos de cada resolvedor.
3. Resumo acionável
Apresenta um resumo claro, a lista de resolvedores, latências e estado de cada grupo.

Quando usar?

Acompanhar a difusão de uma alteração DNS à escala global
Identificar caches ainda antigos e decidir um flush direcionado
Partilhar um estado de propagação num ticket ou post-mortem

Dica: durante o teste de propagação, a seleção de resolvedor fica bloqueada. Desative o modo para voltar ao diagnóstico unitário.

O que é um registo TXT?

Um registo TXT (Text) publica texto arbitrário associado a um nome de domínio. É um formato versátil usado para muitas aplicações, incluindo autenticação de email e verificação de propriedade.

Estrutura de um registo TXT:

Campo	Descrição	Exemplo
Nome	O domínio ou subdomínio	`@` ou `_dmarc`
Tipo	Sempre `TXT`	`TXT`
Valor	Texto livre	`"v=spf1 include:_spf.google.com -all"`
TTL	Duração da cache em segundos	`3600`

Registos TXT comuns

SPF (Sender Policy Framework)

Publicado na raiz do domínio. Define os servidores autorizados a enviar emails.

captaindns.com.  3600  IN  TXT  "v=spf1 include:_spf.google.com -all"

DKIM (DomainKeys Identified Mail)

Publicado em selector._domainkey.dominio.com. Contém a chave pública para verificar assinaturas.

selector._domainkey.captaindns.com.  3600  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBg..."

DMARC (Domain-based Message Authentication)

Publicado em _dmarc.dominio.com. Define a política quando SPF/DKIM falham.

_dmarc.captaindns.com.  3600  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com"

Boas práticas

SPF

Regra	Explicação
Um só registo SPF	Múltiplos v=spf1 causam falhas
Máximo 10 lookups DNS	Conte include, a, mx (não ip4/ip6)
Terminar com -all ou ~all	Define comportamento predefinido

DKIM

Regra	Explicação
Chave mínimo 2048 bits	RSA 1024 bits está obsoleto
Um seletor por serviço	Facilita a rotação

DMARC

Regra	Explicação
Começar com p=none	Observe sem bloquear durante a configuração
Configurar rua	Receba relatórios para diagnóstico

Ferramentas complementares

Ferramenta	Utilidade
Inspetor SPF	Análise SPF detalhada e validação
Inspetor DKIM	Verificação de chave e assinatura DKIM
Inspetor DMARC	Análise de política DMARC
Testador de email	Teste completo SPF/DKIM/DMARC do seu servidor

Recursos úteis

RFC 7208 - SPF (especificação SPF)
RFC 6376 - DKIM (especificação DKIM)
RFC 7489 - DMARC (especificação DMARC)