Entrar
CaptainDNS

Propagação e diagnóstico

Compare resolvedores no mundo inteiro e inspecione as respostas devolvidas.

Autenticação de email

Ferramentas para verificar e validar a configuração de autenticação de email.

Validador de sintaxe SPF

Revise cadeias include e limites de consultas DNS antes de publicar alterações.

Inspector de registos SPF

Resolva o registo TXT publicado, sinalize limites de pesquisas e descodifique cada mecanismo.

Validador de sintaxe DKIM

Verifique rapidamente a sintaxe dos seus registos DKIM.

Verificação de registo DKIM

Resolva um seletor e analise o registo TXT DKIM publicado.

Validador de sintaxe DMARC

Verifique destinos rua/ruf, modos de alinhamento e a política ativa antes de publicar.

Inspector de registos DMARC

Resolva a política publicada, revele diagnósticos e confirme a aplicação antes de passar a reject.

Validador de sintaxe BIMI

Verifique as tags BIMI, o logotipo e o certificado VMC antes de publicar.

Inspetor de registros BIMI

Resolve o registro BIMI publicado e analisa em um só lugar os diagnósticos de logotipo e VMC.

Auditoria de entregabilidade

Audite MX, SPF, DKIM e DMARC para confirmar que o domínio está pronto a enviar.

Analisador de cabeçalhos

Decodifique participantes, resultados SPF/DKIM/DMARC e encaminhamento a partir dos cabeçalhos brutos.

Gerador de registos DMARC

Crie registos DMARC conformes com todas as opções de política e relatórios.

Texto

Transforme, codifique e meça o seu conteúdo em segundos.

Conversor de caixa de texto

Converta instantaneamente qualquer bloco de texto para maiúsculas ou minúsculas.

Codificador / decodificador Base64

Codifique ou decodifique conteúdo em Base64 diretamente no navegador.

Gerador de slug

Transforme qualquer título em um slug otimizado para SEO em segundos.

Contador de palavras e caracteres

Meça o tamanho de qualquer texto com contagens imediatas de palavras e caracteres.

Imagens

Pré-visualize e valide os seus logótipos BIMI antes da publicação.

Inspector de logótipo BIMI

Analise a URL de um logótipo BIMI, o formato, os metadados e a renderização.

Certificados

Analise os seus CSR, logótipos BIMI e certificados VMC antes da publicação.

Analisador de CSR

Inspecione um CSR, extraia detalhes do assunto, impressões digitais e SANs pedidos.

Inspetor VMC

Examine um Verified Mark Certificate: autoridade emissora, validade e SAN antes de publicar o BIMI.

IP

Consulte endereços, proprietários, registos reversos e faixas.

Pesquisa reversa

Resolva um registo PTR e valide a consistência DNS.

WhoIs de IP

Identifique o proprietário de um bloco de IP e respetivos contactos.

Máscara IPv4

Calcule a rede, o broadcast e os hosts utilizáveis de qualquer bloco IPv4.

O meu endereço IP

Detete os seus endereços IPv4/IPv6 e a respetiva geolocalização.

Auditar a saúde DNS de um domínio

Por que fazer uma auditoria completa?

Um domínio bem configurado responde rápido e de forma previsível. Quando a delegação ao parent é exata, cada servidor é acessível em IPv4 e IPv6, o SOA está sincronizado e as configurações básicas estão limpas, as falhas quase sempre desaparecem. Esta auditoria verifica tudo isso rastreando a cadeia real de resolução. Ela compara primeiro a visão do parent com a visão da sua zona, depois consulta cada servidor para ver se ele responde autoritativamente, aceita UDP e TCP, e se suas respostas são consistentes com as de seus pares. Você obtém uma leitura fiel do estado do domínio no momento em que lança o controle.

Como funciona a auditoria?

O controle começa no lado do parent. Ele lê a lista de NS publicada no registro, assim como os endereços colados ao parent quando necessários. Esses endereços de assistência são chamados de glue. Eles só servem se o nome do servidor pertencer ao domínio que você está auditando. A auditoria então recupera a lista de NS da própria zona e compara ambas as visões. Se houver uma discrepância, a resolução se torna aleatória. Um resolver pode seguir o caminho do parent, outro seguir a zona. O diagnóstico então reporta uma diferença parent-zona e diz o que corrigir.

Uma vez validada a delegação, a ferramenta consulta cada servidor. Ela testa a resolução em IPv4 e IPv6 quando possível. Ela mede a latência e verifica se o servidor responde autoritativamente para o domínio. Ela também verifica se a recursão está desativada em um servidor autoritativo e se as transferências de zona não estão abertas para qualquer um. Se uma resposta está truncada em UDP, ela verifica se o TCP assume. Esses pontos evitam erros sutis que só aparecem sob carga ou com uma resposta volumosa.

Delegação, glue e lame delegation

A delegação ao parent deve apontar para servidores que saibam responder autoritativamente para sua zona. Quando o parent aponta para um host que não é autoritativo, fala-se de lame delegation. Os resolvers perdem tempo, às vezes desistem, e você vê SERVFAIL. A auditoria detecta este caso e indica claramente qual servidor causa o problema. Ela também verifica a frescura dos glue. Um glue obsoleto ocorre quando o endereço de um NS mudou mas o registro do parent não foi atualizado. Resultado simples: alguns resolvers têm o endereço correto via a zona, outros continuam tentando o endereço antigo via o parent. O relatório guia você para atualizar os glue no registrador.

Acessibilidade de rede e transporte

Um servidor autoritativo deve responder em UDP. Ele também deve aceitar TCP quando uma resposta excede o tamanho previsto. Firewalls muito rígidos quebram esse fallback. A auditoria tenta ambos os modos e diz se o TCP está bloqueado. Ela verifica a presença de IPv4. Ela sinaliza a ausência de IPv6 como uma melhoria possível em vez de um erro bloqueante. Finalmente, lembra que um servidor autoritativo não deve fazer recursão e que uma transferência de zona não deve estar aberta ao público. Esses pontos concernem a segurança e a estabilidade.

Consistência das respostas e SOA

Todos os servidores de uma mesma zona devem publicar o mesmo conjunto NS, o mesmo serial SOA e os mesmos dados no instante T. Quando um servidor não recebeu a última versão, você vê respostas diferentes dependendo do servidor consultado. O diagnóstico lê o SOA em cada host e verifica se o serial avança de forma monótona. Ele também examina as temporizações do SOA. Um refresh razoável permite aos secundários seguir o primário. Um retry curto acelera a recuperação após uma falha. Um expire suficiente evita que um secundário abandone a zona muito rapidamente. O TTL mínimo serve para o cache negativo e deve permanecer medido. O relatório comenta esses valores de maneira prática, sem dogma, para se ajustar ao seu ritmo de mudança.

IPv4 e IPv6

A presença de IPv6 não é obrigatória mas está se tornando um padrão. Ativar IPv6 nos seus NS elimina uma fonte de erros do lado dos visitantes e robôs que privilegiam essa pilha quando ela existe. A auditoria testa ambas as pilhas quando publicadas. Ela sinaliza a ausência de AAAA como uma oportunidade de melhoria e não como uma falha.

DNSSEC se você o usa

Se seu domínio está assinado, a auditoria verifica se o parent publica um DS que corresponde às chaves da zona. Ela lê os DNSKEY e verifica se as assinaturas são válidas no apex. Uma discrepância entre DS e chaves quebra a cadeia de confiança. O relatório explica o que atualizar primeiro e lembra a ordem das operações durante uma mudança de chave.

Ler o resultado e agir

O topo do relatório resume o estado geral. Os pontos classificados como erros bloqueiam ou degradam francamente a resolução. Corrija as diferenças parent-zona, os glue faltantes, um TCP fechado, uma lame delegation ou um serial divergente com prioridade. Os pontos classificados como avisos melhoram a qualidade sem serem bloqueantes. Um IPv6 ausente, uma dispersão de NS fraca, temporizações SOA pouco realistas entram nesta categoria. Cada ponto vem acompanhado de uma frase de ação concreta. Você sabe o que fazer e onde fazer, na zona ou no registrador.

Cenários concretos

Antes de mudar de provedor DNS, lance a auditoria e depois reduza os TTL dos registros críticos. Adicione os novos NS, atualize a delegação no registro, declare os glue se seus NS estão no seu domínio, aguarde o fim dos caches, depois relance a auditoria. Você valida que o parent e a zona contam a mesma história e que todos os servidores respondem autoritativamente com o mesmo SOA.

Após uma mudança de endereço em um NS, verifique imediatamente o glue no parent. Enquanto o endereço antigo permanecer publicado, parte do tráfego continua indo para o lugar errado. A auditoria coloca este ponto na sua frente com o endereço exato a corrigir.

Se usuários veem erros aleatórios, consulte a seção consistência. Um serial congelado ou um NS que não recebeu a última zona explica frequentemente um comportamento intermitente. O controle mostra qual servidor está atrasado e dá a ordem de colocação em linha.

Boas práticas simples

  • Mantenha pelo menos dois NS em redes distintas.
  • Atualize a delegação e os glue a cada mudança.
  • Deixe TCP aberto nos autoritativos.
  • Desative a recursão e bloqueie as transferências de zona.
  • Escolha temporizações SOA adaptadas à sua cadência de atualização.
  • Ative IPv6 quando puder.
  • Documente cada modificação com a data e o motivo.

São gestos curtos que evitam incidentes longos.

O que você ganha

Um domínio que passa na auditoria se resolve em todos os lugares da mesma maneira. As mudanças se propagam de acordo com o TTL escolhido e não ao acaso. Você reduz os tickets relacionados a uma "propagação" interminável que na realidade é apenas um cache mal antecipado. Você também detecta fraquezas que não aparecem durante um simples lookup, como uma lame delegation ou um TCP fechado. O resultado é um plano de ação claro. Você corrige, verifica, vira a página.

Privacidade e perímetro

O controle consulta apenas informações públicas. Ele contacta sua zona e o parent como faria um resolver. Nenhum dado privado é necessário. A ferramenta não armazena sua configuração. Apenas métricas técnicas anônimas são conservadas para monitorar a disponibilidade do serviço.

Com esta auditoria, você parte dos fatos. Parent e zona estão alinhados ou não estão. Os servidores respondem autoritativamente ou não o fazem. O SOA está sincronizado ou fica para trás. Você ganha uma visão clara do seu domínio e um caminho simples para corrigir o que precisa ser corrigido.