Por que auditar a saúde DNS do seu domínio?
Um domínio bem configurado responde rápido e de forma previsível. Quando a delegação ao parent é exata, cada servidor é acessível em IPv4 e IPv6, o SOA está sincronizado e as configurações estão limpas, as falhas desaparecem.
Problemas comuns detectados pela auditoria:
- Lame delegation → Um NS não responde como autoritativo, causando SERVFAIL intermitentes
- Glue obsoleto → O IP do NS mudou mas o parent ainda aponta para o endereço antigo
- Discrepância parent/zona → Os NS declarados diferem, criando resoluções inconsistentes
- TCP bloqueado → As respostas DNSSEC ou volumosas são truncadas
Como usar a auditoria DNS em 3 passos
Passo 1: Inserir o domínio
Insira seu nome de domínio no campo de pesquisa (exemplo: captaindns.com). A auditoria inicia automaticamente e consulta a cadeia completa de resolução.
Passo 2: Analisar os resultados
O relatório mostra:
- ❌ Erros (vermelho): Problemas bloqueantes ou degradação da resolução
- ⚠️ Avisos (laranja): Melhorias recomendadas
- ✅ Validado (verde): Configuração correta
Cada elemento inclui uma explicação e ação recomendada.
Passo 3: Corrigir os problemas
Siga as recomendações:
- Delegação → Corrija no registrador
- Glue → Atualize os IPs dos NS no registrador
- Zona → Corrija os registros NS no seu servidor DNS
- TCP → Abra a porta 53 TCP nos seus firewalls
O que a auditoria DNS analisa exatamente?
Delegação e consistência parent/zona
A auditoria começa no parent. Lê a lista de NS publicada no registry e compara com os NS declarados na sua zona. Uma discrepância = resoluções aleatórias.
| Verificação | Descrição |
|---|---|
| NS no parent | Lista de NS publicados no registrador |
| NS na zona | Lista de NS no registro NS da sua zona |
| Comparação | Alerta se as listas diferem |
Glue records
Os glue são endereços IP publicados no parent. São necessários quando um NS está no domínio que serve (ns1.captaindns.com para captaindns.com).
Problemas detectados:
- Glue faltante → A resolução entra em loop
- Glue obsoleto → O IP mudou, o parent aponta para o antigo
Acessibilidade dos NS
Cada servidor NS é testado:
- IPv4: Resposta em UDP e TCP
- IPv6: Resposta se AAAA presente
- Autoridade: O servidor responde como autoritativo?
- Recursão: Deve estar desativada num autoritativo
SOA e sincronização
O SOA (Start of Authority) contém o serial e as temporizações. A auditoria verifica:
- Serial: Idêntico em todos os NS (senão um servidor está atrasado)
- Refresh: Frequência de verificação do primário pelos secundários
- Retry: Atraso antes de nova tentativa após falha
- Expire: Duração antes de um secundário abandonar a zona
DNSSEC (se ativado)
Se seu domínio está assinado, a auditoria verifica:
- DS no parent: Presente e correspondente a DNSKEY
- DNSKEY: Chaves públicas na zona
- Assinaturas: Válidas e não expiradas
Casos de uso concretos
Caso 1: Migração de provedor DNS
Antes da migração:
- Execute a auditoria, anote o estado atual
- Reduza os TTL dos registros críticos
Durante a migração:
- Adicione os novos NS
- Atualize a delegação no registrador
- Declare os glue se seus NS estão no seu domínio
Após a migração:
- Execute a auditoria novamente
- Verifique que parent e zona estão alinhados
- Confirme que todos os NS respondem como autoritativos
Caso 2: Resoluções intermitentes
Sintoma: Alguns usuários veem o site, outros têm erros SERVFAIL aleatórios.
Diagnóstico com a auditoria:
- Verifique a consistência parent/zona
- Procure uma lame delegation
- Compare os seriais SOA entre NS
Ação: Corrija a discrepância identificada, ressincronize os NS.
Caso 3: Mudança de IP de um NS
Sintoma: Após mudar o IP de um NS, parte do tráfego vai para o lugar errado.
Diagnóstico com a auditoria:
- Verifique o glue no parent
- O IP antigo pode ainda estar publicado
Ação: Atualize o glue no registrador.
FAQ - Perguntas frequentes
P: O que a auditoria DNS verifica exatamente?
R: A auditoria verifica a consistência entre parent (registry) e zona, confirma que cada NS responde como autoritativo, testa IPv4/IPv6, valida TCP, compara os seriais SOA e detecta lame delegations, glues obsoletos e problemas DNSSEC.
P: O que é uma lame delegation?
R: Uma lame delegation ocorre quando o parent aponta para um servidor NS que não responde como autoritativo para sua zona. Os resolvers perdem tempo, às vezes falham com SERVFAIL. O termo vem de "lame" (manco) porque o servidor não pode servir a zona que lhe é pedida.
P: O que são glue records?
R: Glue records são endereços IP publicados a nível do parent (registry). São necessários quando seu NS está dentro do seu próprio domínio (ex: ns1.captaindns.com para captaindns.com). Sem eles, a resolução entra em loop porque para resolver ns1.captaindns.com seria preciso primeiro consultar... ns1.captaindns.com.
P: Por que verificar a consistência parent/zona?
R: Se parent e zona declaram NS diferentes, os resolvers seguem caminhos diferentes conforme o cache. Alguns usuários veem uma resposta, outros veem outra, ou erros intermitentes. Sempre alinhe ambos.
P: IPv6 é obrigatório?
R: Não, mas fortemente recomendado. Mais redes preferem IPv6. Um NS sem AAAA pode ser inacessível para alguns visitantes, robôs de indexação ou serviços cloud.
Ferramentas complementares
| Ferramenta | Utilidade |
|---|---|
| DNS Lookup | Verificar um registro específico (A, MX, TXT, etc.) |
| Teste de propagação | Acompanhar a difusão de uma mudança DNS |
| Inspetor SPF | Verificar a autenticação de email |
| Testador de email | Testar SPF/DKIM/DMARC em condições reais |
Recursos úteis
- RFC 1034 - Domain Names Concepts (arquitetura DNS)
- RFC 1035 - Domain Names Implementation (especificação DNS)
- RFC 4033/4034/4035 - DNSSEC (segurança DNS)
- ICANN - WHOIS Lookup (informações do registrador)