Por que uma mudança de registro importa para a entregabilidade?

Os provedores de email avaliam o alinhamento SPF, DKIM e DMARC em cada mensagem. Um mecanismo SPF enfraquecido, uma chave DKIM removida ou uma política DMARC rebaixada para p=none pode mandar seu email legítimo para o spam ou expor seu domínio à falsificação. O monitoramento detecta essas mudanças antes que elas prejudiquem você.

Um DNSSEC quebrado afeta mesmo o email?

Sim. Se a assinatura DNSSEC quebrar ou um registro não passar na validação, os resolvedores que aplicam DNSSEC podem parar de resolver seu domínio por completo, o que bloqueia tanto o site quanto o email. O monitoramento sinaliza uma cadeia DNSSEC quebrada ou removida como uma mudança prioritária.

Posso monitorar vários domínios?

Sim, nos planos pagos. O número de domínios monitorados aumenta com o plano, assim como a possibilidade de escolher quais pilares e registros vigiar e com que frequência cada domínio é verificado.

Monitoramento de segurança e entregabilidade email

Por que monitorar a segurança e a entregabilidade de email?

Executar uma auditoria do domínio de email uma vez diz onde você está hoje. Mas sua configuração DNS não é estática. Os fornecedores atualizam a infraestrutura de envio, as equipes rotacionam chaves DKIM, os registradores migram zonas e uma única edição em um registro TXT pode quebrar em silêncio a autenticação ou enfraquecer sua postura de segurança.

O monitoramento de segurança e entregabilidade email fecha essa lacuna. O CaptainDNS repete a auditoria completa na frequência escolhida, compara o resultado com a varredura anterior e envia um resumo por email assim que algo significativo muda. Você vê o valor anterior, o novo valor e o motivo, para que nenhuma regressão passe despercebida.

Isso não se limita à entregabilidade. O monitoramento cobre o quadro completo: como seu domínio envia email, como ele recebe email e como o DNS dele está protegido.

O que o monitoramento vigia

A auditoria, e portanto o monitoramento, abrange nove protocolos divididos em três pilares:

Pilar	Protocolos	O que uma mudança pode significar
Envio	SPF, DKIM, DMARC, BIMI	Autenticação enfraquecida, email no spam, logo da marca perdido
Recepção	MX, MTA-STS, TLS-RPT, DANE	TLS de entrada rebaixado, roteamento alterado, reporting perdido
Segurança DNS	DNSSEC	Resolução em risco, o domínio pode parar de resolver

Para cada pilar, o monitoramento acompanha tanto a pontuação quanto os registros individuais. Uma mudança em qualquer um dos dois pode disparar um alerta.

As mudanças que disparam um alerta

Cada alerta é um resumo que nomeia o registro ou o pilar afetado, mostra o valor antes e depois e explica por que importa. Gatilhos comuns:

SPF enfraquecido ou grande demais: o qualificador passa para ~all (softfail) ou ?all (neutro), ou o registro ultrapassa o limite de 10 lookups DNS e começa a falhar. Valide com o SPF Record Check.
Chave DKIM removida ou expirada: um seletor publicado some ou deixa de retornar uma chave pública, quebrando as assinaturas desse fluxo. Verifique com o DKIM Record Check.
DMARC rebaixado: a política cai de p=reject ou p=quarantine para p=none, removendo a proteção contra falsificação. Revise com o DMARC Record Check.
DNSSEC quebrado ou não assinado: a cadeia de assinatura quebra ou o DNSSEC é removido, colocando a resolução em risco para os resolvedores validadores.
Registros de recepção alterados: os MX mudam, o modo da política MTA-STS é reduzido, o reporting TLS-RPT é removido, ou os registros TLSA do DANE são modificados.
BIMI modificado: o registro BIMI ou a referência ao logo muda, o que pode remover seu indicador de marca das caixas compatíveis.

Como configurar o monitoramento em 3 passos

Passo 1: execute uma auditoria do domínio

Abra a auditoria do domínio de email e analise o domínio que quer vigiar. O CaptainDNS avalia SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE e DNSSEC, e então gera uma pontuação para cada um dos três pilares.

Passo 2: crie um monitoramento

Clique no botão Monitorar no resultado da auditoria, ou crie um novo monitoramento nesta página. Entre na sua conta para salvar o monitoramento nela. Nos planos pagos, você escolhe quais pilares e registros vigiar e com que frequência o domínio é verificado.

Passo 3: receba os alertas de mudança por email

O CaptainDNS repete a auditoria na sua frequência e compara cada varredura com a anterior. Quando uma pontuação de pilar muda ou um registro vigiado é alterado, você recebe um resumo por email com os valores antes e depois e o motivo. Sem precisar ficar de olho em um painel.

Planos e frequência de verificação

Plano	Domínios	Personalização	Frequência de verificação
Grátis	1	Nenhuma	A cada 24 h
Starter	30	Escolher pilares e registros	A partir de 6 h
Pro	75	Escolher pilares e registros	A partir de 3 h
Business	250	Escolher pilares e registros	A partir de 1 h
Enterprise	2500	Escolher pilares e registros	A partir de 1 h

O monitoramento gratuito basta para detectar a maioria das regressões lentas. As frequências mais rápidas importam quando você opera domínios de alto volume, faz mudanças de infraestrutura frequentes ou precisa reagir rápido a um incidente de segurança.

Casos de uso reais

Caso 1: um fornecedor enfraquece o SPF em silêncio

Sintoma: a pontuação de Envio cai alguns dias após integrar um novo provedor de email.

Diagnóstico: o alerta de monitoramento mostra que o registro SPF mudou de -all para ~all, e agora inclui um include: extra que levou o registro acima de 10 lookups DNS. Alguns receptores tratam o registro como um permerror.

Ação: achatar o registro SPF e restaurar um qualificador estrito. A varredura seguinte confirma que a pontuação se recupera.

Caso 2: DMARC rebaixado às escondidas

Sintoma: o monitoramento relata uma mudança no pilar DMARC.

Diagnóstico: durante uma limpeza de DNS, a política foi revertida de p=reject para p=none, removendo a proteção contra falsificação sem ninguém perceber.

Ação: republicar p=reject (ou p=quarantine durante uma transição). Os valores antes e depois no alerta tornam a regressão evidente.

Caso 3: DNSSEC quebra durante uma migração

Sintoma: um alerta prioritário sinaliza o pilar Segurança DNS.

Diagnóstico: uma transferência de zona para um novo fornecedor deixou a cadeia DNSSEC quebrada. Os resolvedores validadores correm o risco de não resolver o domínio, ameaçando web e email.

Ação: reassinar a zona ou desativar o DNSSEC de forma limpa no registrador. O monitoramento confirma que a resolução está segura de novo.

FAQ - Perguntas frequentes

P: O que faz o monitoramento de segurança e entregabilidade email?

R: Ele repete a auditoria de email completa do seu domínio na frequência escolhida e compara cada varredura com a anterior. Quando uma pontuação de pilar muda ou um registro vigiado (SPF, DKIM, DMARC, BIMI, MTA-STS, DANE, TLS-RPT, DNSSEC) é alterado, você recebe um resumo por email com o valor antes e depois e o motivo.

P: Quais registros são monitorados?

R: Os nove protocolos cobertos pela auditoria: SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE, DNSSEC e os registros MX por trás da recepção. O monitoramento acompanha tanto os registros em si quanto as pontuações dos três pilares: Envio, Recepção e Segurança DNS.

P: Quando recebo um alerta?

R: Você recebe um resumo por email quando uma pontuação de pilar muda ou quando um registro vigiado muda. Gatilhos comuns: SPF que passa para ~all ou ?all ou ultrapassa 10 lookups, uma chave DKIM removida ou expirada, DMARC rebaixado para p=none, DNSSEC quebrado ou não assinado, e mudanças em MX, MTA-STS, TLS-RPT, DANE ou BIMI.

P: Com que frequência meu domínio é verificado?

R: O plano gratuito verifica um domínio a cada 24 horas sem personalização. Os planos pagos monitoram mais domínios, deixam você escolher quais pilares e registros vigiar e aumentam a frequência: a cada 6 horas no Starter, a cada 3 horas no Pro e a cada hora no Business e Enterprise.

P: Como começo a monitorar um domínio?

R: Execute a auditoria do domínio de email e clique no botão Monitorar no resultado. Você também pode criar um novo monitoramento diretamente nesta página. É preciso uma conta no CaptainDNS; entre e o monitoramento é salvo nela.

P: O monitoramento é gratuito?

R: Sim. O monitoramento gratuito cobre um domínio verificado a cada 24 horas sem personalização. Os planos pagos adicionam mais domínios, pilares e registros selecionáveis e frequências de verificação mais rápidas, até a cada hora.

P: Qual é a diferença para o monitoramento DMARC?

R: O monitoramento DMARC ingere os relatórios agregados enviados pelos provedores de email para mostrar quem envia email pelo seu domínio. O monitoramento de segurança e entregabilidade email vigia a sua própria configuração DNS nos nove protocolos e avisa quando um registro ou uma pontuação muda. Os dois são complementares.

Ferramentas complementares

Ferramenta	Finalidade
Auditoria do domínio de email	Executar a auditoria completa dos nove protocolos e iniciar um monitoramento
Monitoramento DMARC	Coletar e analisar os relatórios agregados DMARC
SPF Record Check	Verificar seu registro DNS SPF
DKIM Record Check	Verificar seu registro DNS DKIM
DMARC Record Check	Verificar seu registro DNS DMARC
Hospedagem MTA-STS	Hospedar grátis sua política MTA-STS
Monitoramento TLS-RPT	Monitorar os relatórios TLS SMTP
Hospedagem BIMI	Hospedar grátis seu logo e certificado BIMI

Recursos úteis

RFC 7208: SPF, Sender Policy Framework
RFC 6376: DKIM, DomainKeys Identified Mail
RFC 7489: DMARC, Domain-based Message Authentication
RFC 8461: MTA-STS, SMTP MTA Strict Transport Security
RFC 8460: TLS-RPT, SMTP TLS Reporting
RFC 6698: DANE, DNS-Based Authentication of Named Entities
RFC 4033: DNSSEC, DNS Security Introduction and Requirements