Entendendo os Registros DNS e sua Importância na Segurança
Guia completo dos registros DNS (A, MX, CNAME, TXT, NS). Aprenda a configurá-los para proteger seu domínio contra phishing e spoofing.

O Sistema de Nomes de Domínio (DNS) é considerado a espinha dorsal da internet. No entanto, seu design original remonta a uma época em que a cibersegurança não era uma preocupação central. Os padrões iniciais definidos no RFC 1035 da IETF focavam na disponibilidade e velocidade, deixando de lado a verificação de identidade. Hoje em dia, a manipulação de registros DNS é uma das técnicas preferidas dos cibercriminosos para realizar redirecionamentos maliciosos, ataques de phishing e roubo de dados.
Neste artigo, analisaremos os principais tipos de registros DNS (A, MX, CNAME, TXT, NS), suas funções e como uma configuração adequada e segura desses registros pode blindar sua infraestrutura contra incidentes.
O que são os registros DNS e quais são os tipos essenciais?
Os registros DNS são instruções de configuração armazenadas em servidores de nomes autoritativos. Eles indicam aos resolvedores e navegadores web como gerenciar consultas relacionadas a um determinado domínio.
1. Registro A (Address) e AAAA (IPv6 Address)
O registro A é o componente mais básico e fundamental. Associa um nome de host (como tecnocrypter.com) a um endereço IPv4 físico de 32 bits. Sua contraparte para a nova arquitetura de endereçamento é o registro AAAA, que aponta para um endereço IPv6 de 128 bits.
- Importância na segurança: Se um invasor comprometer seu painel do registrador e alterar o registro A, ele poderá desviar todo o tráfego para uma réplica maliciosa do seu site (phishing) para capturar as credenciais dos seus usuários.
2. Registro CNAME (Canonical Name)
Funciona como um apelido (alias). Em vez de apontar para um IP físico, um registro CNAME aponta para outro nome de domínio. Por exemplo, você pode configurar www.tecnocrypter.com para apontar para tecnocrypter.com.
- Importância na segurança: É crucial auditar os registros CNAME antigos. Se um registro apontar para um subdomínio ou serviço na nuvem que você não utiliza mais (como um bucket do AWS S3 ou uma instância desativada do GitHub Pages), um invasor poderá reivindicar esse recurso no provedor e assumir o controle do subdomínio da sua organização, um ataque conhecido como Subdomain Takeover.
3. Registro MX (Mail Exchanger)
Especifica os servidores de e-mail responsáveis por receber mensagens em nome do seu domínio. Cada registro MX inclui uma prioridade (números menores representam maior prioridade).
- Importância na segurança: Invasores podem tentar criar registros MX falsos com menor prioridade para interceptar ou desviar seus e-mails recebidos.
4. Registro NS (Name Server)
Indica quais servidores de nomes são os autoritativos para gerenciar a zona DNS do seu domínio.
- Importância na segurança: Alterar os registros NS sem autorização equivale a perder completamente o controle de todo o seu ecossistema de rede.
5. Registro TXT (Text)
Permite armazenar informações de texto arbitrárias e legíveis por máquinas em sua zona DNS. Atualmente, seu uso é estritamente indispensável para a segurança do e-mail.
Blindagem de E-mail Através de Registros TXT
A maior parte dos ataques de phishing utiliza a falsificação da identidade do remetente (email spoofing). Os registros TXT nos permitem implementar três tecnologias de autenticação que trabalham juntas:
- SPF (Sender Policy Framework): Declara uma lista autorizada de IPs e servidores que podem enviar e-mails em nome do seu domínio. Um cliente de e-mail receptor verificará seu registro TXT SPF para validar se a mensagem procede de um IP aprovado.
- DKIM (DomainKeys Identified Mail): Adiciona uma assinatura criptográfica (chave pública) aos cabeçalhos dos seus e-mails. O destinatário utiliza essa assinatura para verificar se a mensagem foi realmente enviada pelo proprietário do domínio e se não foi alterada durante o trânsito.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): Estabelece uma política para indicar ao servidor receptor o que fazer se um e-mail falhar nas validações de SPF ou DKIM (por exemplo, rejeitá-lo ou enviá-lo para spam). Também fornece relatórios detalhados sobre possíveis tentativas de falsificação de identidade.
Tabela Comparativa de Registros DNS
| Tipo de Registro | Destino da Consulta | Principal Caso de Uso | Risco de Cibersegurança |
|---|---|---|---|
| A / AAAA | Endereço IP (IPv4 / IPv6) | Apontar domínios para servidores web | Redirecionamento de tráfego para sites clonados |
| CNAME | Nome de Domínio (Alias) | Apontar subdomínios para serviços externos | Sequestro de subdomínios abandonados (Subdomain Takeover) |
| MX | Servidor de E-mail + Prioridade | Roteamento de e-mails recebidos | Interceptação ou desvio de e-mails da organização |
| TXT | String de texto arbitrário | Autenticação SPF, DKIM, DMARC | Revelação excessiva de infraestrutura ou chaves vulneráveis |
| NS | Servidor de Nomes | Declarar autoridade sobre a zona DNS | Perda absoluta de controle do domínio |
Como Auditar e Verificar Seus Registros DNS de Forma Segura
É altamente recomendável auditar periodicamente as zonas DNS do seu domínio para detectar registros obsoletos ou entradas não autorizadas.
Auditoria Local via Console
Você pode interrogar seus servidores DNS locais ou públicos diretamente usando ferramentas integradas no seu sistema operacional:
# Consultar os registros MX para verificar os servidores de e-mail
dig tecnocrypter.com MX
# Consultar o registro TXT de SPF e DMARC do seu domínio
dig tecnocrypter.com TXT
Ferramentas de Auditoria Web
Se preferir uma análise abrangente e em tempo real sem precisar usar comandos complexos, você pode utilizar o nosso Verificador de Propagação DNS. Esta ferramenta permite consultar a partir de múltiplos locais do mundo de forma simultânea se as alterações que você realizou nos seus registros DNS estão corretas e se foram propagadas para todos os resolvedores globais autorizados.
Conclusão
A configuração dos seus registros DNS não é um processo único que deva ser feito e esquecido. Ela exige monitoramento constante e melhores práticas de segurança, como a ativação da autenticação de dois fatores (2FA) no seu registrador de domínios, a auditoria de registros CNAME não utilizados e a implementação rigorosa de SPF, DKIM e DMARC.
Para aprofundar mais no comportamento das consultas DNS no tempo, aconselhamos ler sobre Como funciona a propagação DNS em tempo real e aprender sobre o Sequestro de DNS e como se defender.
Fontes e leituras recomendadas:
- RFC 1035 - Domain Names - Implementation and Specification — Padrão base do sistema de nomes de domínio.
- Wikipedia - Lista de tipos de registros DNS — Detalhes técnicos de todos os tipos de registros de recursos.
- Ferramenta interna TecnoCrypter: Verificador de Propagação DNS


