Guia Completo de Tipos de Registros DNS: Configuração Prática do A ao CAA

Os registros DNS são a base invisível de toda presença online. Cada vez que um usuário digita um endereço no navegador, uma cadeia de consultas DNS traduz esse nome legível em instruções técnicas que direcionam o tráfego ao servidor correto. Este guia prático apresenta os 10 tipos de registros DNS mais importantes, com sintaxe real de configuração, exemplos aplicáveis e os erros mais comuns a evitar.

Tabela Comparativa Rápida dos 10 Tipos de Registros DNS

1. Registro A (Address Record)

Definição

O registro A mapeia um nome de domínio para um endereço IPv4 de 32 bits. É o tipo de registro mais fundamental do DNS.

Sintaxe

nome.example.com.  IN  A  192.0.2.1

Exemplos Práticos

; Site principal
example.com.       300  IN  A  203.0.113.10

; Subdomínio de API
api.example.com.   300  IN  A  203.0.113.20

; Múltiplos registros para balanceamento de carga
example.com.       300  IN  A  203.0.113.10
example.com.       300  IN  A  203.0.113.11

Erros Comuns

• Usar TTL muito alto durante migrações (impossibilita rollback rápido)
• Esquecer de atualizar todos os registros A ao trocar de servidor
• Configurar registros A e CNAME no mesmo nome (conflito de RFC)

2. Registro AAAA (IPv6 Address Record)

Definição

Equivalente ao registro A para endereços IPv6 de 128 bits. Essencial para suporte à internet moderna.

Sintaxe

example.com.  IN  AAAA  2001:0db8:85a3::8a2e:0370:7334

Exemplos Práticos

example.com.       300  IN  AAAA  2606:4700:3030::6815:1234
api.example.com.   300  IN  AAAA  2606:4700:3030::6815:5678

Erros Comuns

• Publicar registros AAAA sem que o servidor realmente aceite conexões IPv6
• Não testar a resolução IPv6 separadamente da IPv4

3. Registro CNAME (Canonical Name)

Definição

Cria um alias que aponta para o nome canônico de outro domínio. O DNS resolve o CNAME antes de retornar o endereço IP final.

Sintaxe

alias.example.com.  IN  CNAME  destino.example.com.

Exemplos Práticos

; www apontando para o domínio raiz
www.example.com.      3600  IN  CNAME  example.com.

; Subdomínio apontando para CDN
cdn.example.com.      3600  IN  CNAME  d1234.cloudfront.net.

; Subdomínio para plataforma SaaS
blog.example.com.     3600  IN  CNAME  custom.ghost.io.

Erros Comuns

• Usar CNAME no apex do domínio (proibido pela RFC 1034) — use registros A ou ALIAS
• Criar cadeia de CNAMEs (CNAME apontando para outro CNAME) — causa latência
• Colocar CNAME junto com MX ou TXT no mesmo nome

4. Registro MX (Mail Exchange)

Definição

Especifica quais servidores são responsáveis por receber emails para o domínio, com valores de prioridade (menor = mais prioritário).

Sintaxe

example.com.  IN  MX  prioridade  servidor-de-email.

Exemplos Práticos

; Google Workspace
example.com.  3600  IN  MX  1   aspmx.l.google.com.
example.com.  3600  IN  MX  5   alt1.aspmx.l.google.com.
example.com.  3600  IN  MX  5   alt2.aspmx.l.google.com.
example.com.  3600  IN  MX  10  alt3.aspmx.l.google.com.
example.com.  3600  IN  MX  10  alt4.aspmx.l.google.com.

; Microsoft 365
example.com.  3600  IN  MX  0   example-com.mail.protection.outlook.com.

Erros Comuns

• Apontar MX para um CNAME (deve ser um nome com registro A/AAAA)
• Esquecer o ponto final no nome do servidor
• Não configurar registros MX de fallback

5. Registro TXT (Text Record)

Definição

Armazena texto arbitrário associado ao domínio. Amplamente usado para verificação de propriedade, autenticação de email (SPF, DKIM, DMARC) e políticas de segurança.

Sintaxe

example.com.  IN  TXT  "texto-do-registro"

Exemplos Práticos

; SPF
example.com.  3600  IN  TXT  "v=spf1 include:_spf.google.com ~all"

; Verificação de domínio (Google)
example.com.  3600  IN  TXT  "google-site-verification=abc123def456"

; DMARC
_dmarc.example.com.  3600  IN  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Erros Comuns

• Múltiplos registros SPF no mesmo domínio (deve ser apenas um)
• Exceder o limite de 255 caracteres por string sem usar concatenação
• Exceder 10 lookups DNS no SPF (causa permerror)

6. Registro NS (Name Server)

Definição

Indica quais servidores de nomes são autoritativos para a zona DNS. Definidos tanto no registrador quanto na própria zona.

Sintaxe

example.com.  IN  NS  ns1.provider.com.

Exemplos Práticos

example.com.  86400  IN  NS  ns1.cloudflare.com.
example.com.  86400  IN  NS  ns2.cloudflare.com.

; Delegação de subdomínio
dev.example.com.  86400  IN  NS  ns1.dev-provider.com.
dev.example.com.  86400  IN  NS  ns2.dev-provider.com.

Erros Comuns

• Inconsistência entre os NS no registrador e os declarados na zona
• Usar apenas um servidor de nomes (sem redundância)
• NS apontando para CNAME (proibido)

7. Registro SOA (Start of Authority)

Definição

Primeiro registro obrigatório de toda zona DNS. Contém informações administrativas, como serial, intervalos de refresh e expiração.

Sintaxe

example.com.  IN  SOA  ns1.example.com. admin.example.com. (
    2026052201  ; Serial (YYYYMMDDNN)
    7200        ; Refresh (2 horas)
    3600        ; Retry (1 hora)
    1209600     ; Expire (14 dias)
    300         ; Negative TTL (5 minutos)
)

Erros Comuns

• Não incrementar o serial após alterações (servidores secundários não atualizam)
• Expire muito curto (zona desaparece se o primário ficar offline)

8. Registro PTR (Pointer Record)

Definição

Realiza o mapeamento reverso: dado um endereço IP, retorna o nome de host associado. Configurado na zona reversa (in-addr.arpa ou ip6.arpa).

Sintaxe

1.2.0.192.in-addr.arpa.  IN  PTR  servidor.example.com.

Exemplos Práticos

; IPv4 reverso
10.113.0.203.in-addr.arpa.  3600  IN  PTR  mail.example.com.

; IPv6 reverso
4.3.2.1.0.7.3.0.e.2.a.8.0.0.0.0.3.a.5.8.8.b.d.0.8.b.d.0.1.0.0.2.ip6.arpa.  IN  PTR  host.example.com.

Erros Comuns

• Não solicitar configuração PTR ao provedor de hospedagem (você raramente controla a zona reversa)
• PTR inconsistente com o registro A (causa rejeição de email)

9. Registro SRV (Service Record)

Definição

Especifica host e porta para serviços específicos, permitindo descoberta automática de serviços.

Sintaxe

_serviço._protocolo.example.com.  IN  SRV  prioridade  peso  porta  host.

Exemplos Práticos

; Microsoft Teams / SIP
_sip._tls.example.com.       3600  IN  SRV  100  1  443  sipdir.online.lync.com.
_sipfederationtls._tcp.example.com.  3600  IN  SRV  100  1  5061  sipfed.online.lync.com.

; XMPP
_xmpp-server._tcp.example.com.  3600  IN  SRV  5  0  5269  xmpp.example.com.

Erros Comuns

• Esquecer o underscore nos nomes de serviço e protocolo
• Confundir prioridade com peso (prioridade menor = tentado primeiro)

10. Registro CAA (Certification Authority Authorization)

Definição

Especifica quais Autoridades de Certificação (CAs) estão autorizadas a emitir certificados SSL/TLS para o domínio. Uma camada adicional de segurança contra emissão não autorizada.

Sintaxe

example.com.  IN  CAA  flags  tag  "valor"

Exemplos Práticos

; Permitir apenas Let's Encrypt
example.com.  3600  IN  CAA  0  issue  "letsencrypt.org"

; Permitir Let's Encrypt e DigiCert
example.com.  3600  IN  CAA  0  issue  "letsencrypt.org"
example.com.  3600  IN  CAA  0  issue  "digicert.com"

; Restringir wildcard a uma CA específica
example.com.  3600  IN  CAA  0  issuewild  "letsencrypt.org"

; Notificação em caso de violação
example.com.  3600  IN  CAA  0  iodef  "mailto:security@example.com"

CA/B Forum Ballot SC-081v3 — Nova Política de Validade de Certificados

Em abril de 2025, o CA/Browser Forum aprovou o Ballot SC-081v3 que reduz progressivamente a validade máxima de certificados SSL/TLS:

Impacto prático: Com certificados de 47 dias, a automação via ACME (Let’s Encrypt, ZeroSSL) se torna obrigatória. Os registros CAA ganham importância crítica, pois restringem quais CAs podem emitir renovações automáticas para seu domínio.

Erros Comuns

• Não configurar CAA e deixar qualquer CA emitir certificados para seu domínio
• Esquecer de adicionar a CA usada para wildcard no tag issuewild
• Não incluir iodef para receber alertas de tentativas não autorizadas

Autenticação de Email: SPF, DKIM e DMARC

Mandato Google/Yahoo 2024

A partir de fevereiro de 2024, Google e Yahoo exigem que remetentes em massa (5.000+ emails/dia) implementem obrigatoriamente:

1. SPF válido
2. DKIM com assinatura alinhada ao domínio
3. DMARC com política mínima p=none

Remetentes que não cumprirem terão emails rejeitados ou classificados como spam.

Configuração SPF Completa

; SPF básico — Google Workspace + Mailchimp
example.com.  3600  IN  TXT  "v=spf1 include:_spf.google.com include:servers.mcsv.net -all"

Regras essenciais:

• Máximo de 10 DNS lookups (include, a, mx, redirect contam)
• Use ~all (softfail) durante testes, -all (hardfail) em produção
• Apenas um registro SPF por domínio

Configuração DKIM

; Seletor Google Workspace
google._domainkey.example.com.  3600  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

; Seletor personalizado
selector1._domainkey.example.com.  3600  IN  TXT  "v=DKIM1; k=rsa; p=BASE64_PUBLIC_KEY"

Configuração DMARC Progressiva

; Fase 1: Monitoramento
_dmarc.example.com.  3600  IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensic@example.com"

; Fase 2: Quarentena parcial
_dmarc.example.com.  3600  IN  TXT  "v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@example.com"

; Fase 3: Rejeição total
_dmarc.example.com.  3600  IN  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com"

Árvore de Decisão para Escolha de Registros

Preciso apontar meu domínio para...
│
├─ Um endereço IP?
│  ├─ IPv4 → Registro A
│  └─ IPv6 → Registro AAAA
│
├─ Outro nome de domínio?
│  ├─ É o apex (raiz)? → Use A/AAAA (ou ALIAS se disponível)
│  └─ É subdomínio? → Registro CNAME
│
├─ Servidor de email?
│  └─ Registro MX (+ SPF/DKIM/DMARC via TXT)
│
├─ Verificação ou política de texto?
│  └─ Registro TXT
│
├─ Serviço com porta específica?
│  └─ Registro SRV
│
├─ Controlar quais CAs emitem certificados?
│  └─ Registro CAA
│
└─ Mapear IP reverso para nome?
   └─ Registro PTR

Exemplo Completo de Configuração DNS

Cenário: domínio meusite.com.br com site em CDN, email no Google Workspace, e Let’s Encrypt para SSL.

; --- Registros de infraestrutura ---
meusite.com.br.          86400  IN  NS   ns1.cloudflare.com.
meusite.com.br.          86400  IN  NS   ns2.cloudflare.com.

; --- Site ---
meusite.com.br.          300    IN  A     104.21.45.67
meusite.com.br.          300    IN  AAAA  2606:4700:3030::6815:2d43
www.meusite.com.br.      3600   IN  CNAME meusite.com.br.

; --- Email (Google Workspace) ---
meusite.com.br.          3600   IN  MX   1  aspmx.l.google.com.
meusite.com.br.          3600   IN  MX   5  alt1.aspmx.l.google.com.
meusite.com.br.          3600   IN  MX   5  alt2.aspmx.l.google.com.

; --- Autenticação de email ---
meusite.com.br.          3600   IN  TXT  "v=spf1 include:_spf.google.com -all"
google._domainkey.meusite.com.br.  3600  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjAN..."
_dmarc.meusite.com.br.   3600   IN  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@meusite.com.br"

; --- Certificados ---
meusite.com.br.          3600   IN  CAA  0  issue     "letsencrypt.org"
meusite.com.br.          3600   IN  CAA  0  issuewild "letsencrypt.org"
meusite.com.br.          3600   IN  CAA  0  iodef     "mailto:security@meusite.com.br"

Ferramentas de Diagnóstico e Troubleshooting

Linha de Comando

# Consultar registro A
dig example.com A +short

# Consultar MX com detalhes
dig example.com MX +noall +answer

# Consultar registro TXT (SPF)
dig example.com TXT +short

# Consultar CAA
dig example.com CAA +short

# Verificar propagação com servidor específico
dig @8.8.8.8 example.com A

# Trace completo da resolução
dig example.com +trace

# DNS reverso
dig -x 203.0.113.10

# Verificar DNSSEC
dig example.com +dnssec +short

Ferramentas Online

Antes de configurar qualquer registro DNS, é fundamental garantir que o domínio ideal esteja disponível. Use o verificador de domínios da Nameslink para consultar a disponibilidade instantaneamente, ou acesse o Nameslink Quick Buy para registrar domínios de forma rápida.

Boas Práticas de TTL

Dica prática: Ao planejar uma migração, reduza o TTL pelo menos 48 horas antes da mudança. Assim, quando alterar os registros, a propagação será mais rápida e o rollback viável.

FAQ — Perguntas Frequentes

1. Posso usar CNAME no domínio raiz (apex)?

Não. A RFC 1034 proíbe CNAME coexistir com outros registros no mesmo nome, e o apex sempre possui SOA e NS. Alguns provedores oferecem registros proprietários (ALIAS, ANAME) como alternativa, mas não são padrão DNS.

2. Quantos registros MX preciso configurar?

No mínimo dois com prioridades diferentes para redundância. A maioria dos provedores de email (Google, Microsoft) fornece entre 2 e 5 servidores MX com prioridades variadas.

3. O que acontece se meu SPF ultrapassar 10 lookups?

O resultado será permerror, e servidores receptores podem tratar suas mensagens como se não houvesse SPF configurado. Use mecanismos como ip4: e ip6: (que não contam como lookup) ou serviços de flattening de SPF.

4. Preciso de registro CAA se já uso HTTPS?

Sim. O CAA é uma camada preventiva que impede CAs não autorizadas de emitir certificados para seu domínio. Com a nova política de 47 dias do CA/B Forum, a automação de certificados torna o CAA ainda mais relevante para garantir que apenas suas CAs confiáveis emitam renovações.

5. Como verifico se meu domínio está disponível antes de configurar DNS?

Utilize a ferramenta de avaliação de domínios da Nameslink para verificar não apenas a disponibilidade, mas também o valor estimado de um domínio. Para registro imediato, acesse o Nameslink Quick Buy.

Referências

1. RFC 1035 — Domain Names: Implementation and Specification
2. RFC 7208 — Sender Policy Framework (SPF)
3. RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures
4. RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC)
5. RFC 8659 — DNS Certification Authority Authorization (CAA) Resource Record
6. CA/Browser Forum Ballot SC-081v3 — Reducing TLS Certificate Lifetimes (Abril 2025)
7. Google — Email Sender Guidelines (2024)
8. Yahoo — Sender Best Practices (2024)
9. IANA — DNS Parameters Registry
10. Cloudflare Learning Center — DNS Record Types