A migração parecia simples. Mover o DNS para um novo provedor, atualizar os nameservers, pronto. Exceto que alguém esqueceu de recriar o registro SPF. Por três dias, todo email da empresa falhou na autenticação. A entregabilidade despencou. As reclamações de clientes se acumularam. Tudo por causa de um registro TXT ausente.
Email e DNS são profundamente interligados. Registros MX dizem ao mundo para onde entregar seu email. Registros TXT lidam com autenticação. Registros CNAME habilitam tracking e domínios customizados. Se faltar qualquer um deles, o email quebra de maneiras nem sempre óbvias.
Este checklist cobre todos os registros DNS que afetam email, do essencial ao opcional mas recomendado.
Registros essenciais
Registros MX. Mail Exchanger dizem aos servidores remetentes para onde entregar email do seu domínio. Sem registros MX, você não consegue receber email. A maioria das configurações tem múltiplos registros MX com prioridades diferentes para redundância.
example.com. MX 10 mail1.example.com.
example.com. MX 20 mail2.example.com.
O número é a prioridade — números menores são tentados primeiro. Se o mail1 estiver indisponível, os remetentes tentam o mail2.
Registro SPF (TXT). Sender Policy Framework declara quais servidores podem enviar email como seu domínio. É um registro TXT que lista endereços IP autorizados e diretivas include para serviços de terceiros.
example.com. TXT "v=spf1 include:_spf.google.com include:amazonses.com -all"
O -all no final significa “rejeitar qualquer coisa não listada”. Use ~all (soft fail) apenas durante a configuração inicial.
Registros DKIM (TXT ou CNAME). DomainKeys Identified Mail usa criptografia de chave pública para assinar emails. A chave pública é publicada no DNS para que os destinatários verifiquem as assinaturas. O nome do registro inclui um seletor que identifica qual chave usar.
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIGfMA0GCS..."
Alguns provedores usam registros CNAME que apontam para chaves hospedadas por eles em vez de publicar a chave diretamente.
Registro DMARC (TXT). Autenticação, Relatórios e Conformidade baseados em Domínio conecta SPF e DKIM e informa aos destinatários o que fazer em caso de falhas.
_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:[email protected]"
O valor p= é sua política: none (apenas monitorar), quarantine (envia para spam) ou reject (bloqueia completamente).
Registros recomendados
DNS reverso (PTR). Registros PTR mapeiam endereços IP de volta para hostnames. Muitos servidores de recebimento verificam se seu IP remetente tem um registro PTR e se ele resolve de volta para o IP. Sem DNS reverso adequado, seus emails podem ser rejeitados ou marcados como spam.
Registros PTR são definidos por quem controla o endereço IP — geralmente seu provedor de hospedagem ou ISP, não no DNS do seu domínio.
Registros MTA-STS. Mail Transfer Agent Strict Transport Security informa aos servidores remetentes para exigir TLS ao entregar para seu domínio. Evita ataques de downgrade em que invasores forçam uma entrega sem criptografia.
_mta-sts.example.com. TXT "v=STSv1; id=20240115"
Você também precisa hospedar um arquivo de política em https://mta-sts.example.com/.well-known/mta-sts.txt.
Registro TLS-RPT (TXT). TLS Reporting informa aos remetentes para onde enviar relatórios sobre falhas de conexão TLS. Ajuda a identificar problemas de entrega causados por issues de TLS.
_smtp._tls.example.com. TXT "v=TLSRPTv1; rua=mailto:[email protected]"
Registro BIMI (TXT). Brand Indicators for Message Identification exibe seu logo em clientes de email compatíveis. Requer enforcement de DMARC e, para suporte completo, um Verified Mark Certificate.
default._bimi.example.com. TXT "v=BIMI1; l=https://example.com/logo.svg"
Registros específicos de serviço
Verificação do provedor de email. A maioria dos provedores de email exige adicionar registros TXT ou CNAME para verificar a propriedade do domínio. Google Workspace, Microsoft 365 e outros têm seus próprios registros de verificação.
CNAMEs de domínio de rastreamento. Serviços de email que rastreiam aberturas e cliques costumam usar registros CNAME para habilitar domínios de rastreamento customizados. Em vez de links apontarem para track.emailprovider.com, eles apontam para click.yourdomain.com.
click.example.com. CNAME track.emailprovider.com.
Return-path personalizado. Alguns provedores usam registros CNAME para domínios de return-path personalizados, o que ajuda no alinhamento de SPF e na entregabilidade.
Registros de segurança
Registros DANE (TLSA). DNS-based Authentication of Named Entities fornece pinning de certificados para email. É mais complexo do que MTA-STS, mas oferece garantias de segurança mais fortes. Requer DNSSEC.
_25._tcp.mail.example.com. TLSA 3 1 1 abc123...
Registros CAA. Certificate Authority Authorization especifica quais CAs podem emitir certificados para seu domínio. Embora não seja específico de email, protege os certificados que seus servidores de email usam.
example.com. CAA 0 issue "letsencrypt.org"
Checklist de verificação
Depois de configurar ou modificar registros DNS, verifique se tudo está funcionando:
Registros MX resolvem. Use dig MX example.com ou MXToolbox para verificar se os registros MX existem e apontam para servidores válidos e alcançáveis.
SPF é válido. Use um verificador de SPF para checar sintaxe, contagem de lookups e se todos os seus remetentes estão incluídos. Envie um email de teste e verifique o cabeçalho Authentication-Results.
Chaves DKIM estão publicadas. Use um verificador de DKIM com seu seletor para confirmar que a chave pública está acessível. Envie um email de teste e confirme que a assinatura DKIM valida.
DMARC está publicado. Use um verificador de DMARC para confirmar que o registro existe e é sintaticamente válido. Verifique se você está recebendo relatórios agregados no endereço especificado.
DNS reverso está configurado. Use dig -x [your-ip] para checar registros PTR. Verifique se o hostname retornado resolve de volta para o seu IP.
TLS está funcionando. Use CheckTLS ou similar para verificar se seu servidor de email aceita conexões TLS e possui um certificado válido.
Erros comuns
TTL muito alto durante mudanças. Se você estiver fazendo alterações de DNS, reduza o TTL primeiro (para 300 segundos ou menos), espere o TTL antigo expirar, faça as alterações e depois aumente o TTL novamente. TTL alto durante mudanças significa atrasos longos de propagação.
Esquecer pontos finais. Em arquivos de zona, hostnames devem terminar com um ponto (por exemplo, mail.example.com.). Sem o ponto, o nome da zona é anexado, criando registros inválidos.
Registros conflitantes. Você só pode ter um registro SPF por domínio. Múltiplos registros SPF causam falhas. Se precisar autorizar vários serviços, combine tudo em um único registro.
Registros antigos após migrações. Ao trocar de provedor de email, registros antigos (MX, includes de SPF, chaves DKIM) precisam ser removidos. Registros obsoletos causam falhas de autenticação ou roteiam email para servidores desativados.
Frequently asked questions
Quanto tempo as mudanças de DNS levam para propagar?
Depende do TTL (Time To Live). Os registros são cacheados pela duração do TTL. Se o TTL for 3600 (1 hora), as mudanças podem levar até uma hora para se propagarem globalmente. Reduza o TTL antes de fazer mudanças para acelerar a propagação.
Eu preciso de todos esses registros?
MX, SPF, DKIM e DMARC são essenciais para email moderno. MTA-STS e BIMI são recomendados, mas não obrigatórios. DANE é opcional e requer DNSSEC. Registros específicos de serviço dependem dos serviços que você usa.
O que acontece se eu errar um registro DNS?
Depende do registro. Registros MX incorretos significam que você não receberá email. SPF/DKIM incorretos causam falhas de autenticação e possível filtragem como spam. Sempre teste mudanças em um ambiente de staging ou com TTL baixo para poder reverter rapidamente.
Devo usar o DNS do meu registrador ou um provedor de DNS dedicado?
Provedores de DNS dedicados (Cloudflare, Route 53, etc.) normalmente oferecem melhor performance, mais recursos e interfaces de gerenciamento superiores. Para infraestrutura crítica de email, a confiabilidade e os recursos de DNS dedicado valem a complexidade.