Verificar registros DNS de e-mail (MX, SPF, DKIM, DMARC)

Por que isso importa

Marketing liga SendGrid na sexta ; segunda chega com bounces em massa porque SPF lista include errado. Segurança audita relatórios agregados DMARC mostrando remetentes não autorizados carimbando seu domínio. TI migra MX para Microsoft 365 mas esquece prioridades MX secundárias — mail externo faz loop ou atrasa silenciosamente. Inspeção DNS pertence a toda sala de guerra de entregabilidade antes de escalar consultores caros.

Três cenários reais

Engenheiro DevOps

Validar corte DNS antes de desligar SMTP legado

Consulte prioridades MX e TTL após baixar registros região a região.

Propagação limpa

Marketeiro de e-mail

Provar alinhamento SPF/DKIM no onboarding ESP

Capture cadeias TXT com includes v=spf1 e chaves DKIM por seletor.

Capturas para tickets

Analista de segurança

Achar políticas DMARC fracas

Verifique se domínios ainda estão p=none sem plano de endurecimento progressivo.

Recomendações firmes

Passo a passo

Abra a verificação DNS de e-mail.

Digite domínio ou rótulos por seletor
MX/SPF/DMARC na raiz ; DKIM costuma usar selector._domainkey.example.com — confirme doc ESP.
Escolha tipos de registro
MX roteamento, TXT blocos SPF/DMARC/DKIM, CNAME delegação DKIM — multi-seleção conforme necessidade.
Inspecione TTL e autoridade
TTL curtos ajudam migrações mas carregam resolvedores — anote valores planejando rollbacks.
Copie trecho diagnóstico
Cole em tickets de suporte com timestamps para traçar timelines de propagação.

Sanidade trecho SPF

Input

Domínio: example.com
Registro: TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
(Depois verifique resolução dos includes e limites de lookup DNS)

Dicas avançadas

Associe analisador de URL ao dissecar links mailto: em PDF suspeitos.
Contraste resolvedores múltiplos: DNS split-horizon corporativo pode mentir vs Internet pública — compare dig de shells cloud se escaladas persistirem.
Documente mudanças sequenciais: endurecimento DMARC vai em ticket de mudança com snapshots TXT antes/depois.

Armadilhas comuns

Erro comum

Atrasos propagação DNS

Respostas em cache atrasam realidade global — espere janelas TTL antes declarar falha após troca de fornecedor de madrugada.

Erro comum

Vários TXT SPF

Padrão espera um TXT SPF por zona — duplicados acidentais criam falhas permanentes.

Erro comum

Rotação seletor DKIM

Seletores antigos persistem durante rotação de chave — valide ambos até receptores atualizarem cache.

Quando esta não é a ferramenta certa

Debug MIME nível caixa: obtenha cabeçalhos .eml brutos no cliente de mail.
Traces conversação SMTP: logs servidor (STARTTLS, AUTH) além DNS.
Pontuação reputação: Talos/SenderScore complementam higiene DNS sem substituí-la.

FAQ

Consultas são registradas centralmente?

Execução ambiente navegador segundo MoreKits — evite digitar esquemas ultra sensíveis em máquinas compartilhadas se política proibir.

Envia e-mails teste?

Não — só lê DNS ; teste entregabilidade ainda exige seeds multi-fornecedor.

Considerações IPv6

Alguns MX publicam AAAA — verifique alcance dual-stack separadamente da correção DNS.

Próximos passos

Codifique specs QR Wi‑Fi antes de mudanças de escritório via gerador QR Wi‑Fi.
Faça hash de secrets webhooks com gerador HMAC.
Compare URLs suspeitas estruturalmente com analisador de URL.

Por que isso importa

Três cenários reais

Engenheiro DevOps

Validar corte DNS antes de desligar SMTP legado

Consulte prioridades MX e TTL após baixar registros região a região.

Propagação limpa

Marketeiro de e-mail

Provar alinhamento SPF/DKIM no onboarding ESP

Capture cadeias TXT com includes v=spf1 e chaves DKIM por seletor.

Capturas para tickets

Analista de segurança

Achar políticas DMARC fracas

Verifique se domínios ainda estão p=none sem plano de endurecimento progressivo.

Recomendações firmes

Passo a passo

Digite domínio ou rótulos por seletor

MX/SPF/DMARC na raiz ; DKIM costuma usar selector._domainkey.example.com — confirme doc ESP.

Escolha tipos de registro

MX roteamento, TXT blocos SPF/DMARC/DKIM, CNAME delegação DKIM — multi-seleção conforme necessidade.

Inspecione TTL e autoridade

TTL curtos ajudam migrações mas carregam resolvedores — anote valores planejando rollbacks.

Copie trecho diagnóstico

Cole em tickets de suporte com timestamps para traçar timelines de propagação.

Sanidade trecho SPF

Input

Domínio: example.com
Registro: TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
(Depois verifique resolução dos includes e limites de lookup DNS)

Dicas avançadas

Associe analisador de URL ao dissecar links mailto: em PDF suspeitos.

Contraste resolvedores múltiplos: DNS split-horizon corporativo pode mentir vs Internet pública — compare dig de shells cloud se escaladas persistirem.

Documente mudanças sequenciais: endurecimento DMARC vai em ticket de mudança com snapshots TXT antes/depois.

Armadilhas comuns

Erro comum

Atrasos propagação DNS

Respostas em cache atrasam realidade global — espere janelas TTL antes declarar falha após troca de fornecedor de madrugada.

Erro comum

Vários TXT SPF

Padrão espera um TXT SPF por zona — duplicados acidentais criam falhas permanentes.

Erro comum

Rotação seletor DKIM

Seletores antigos persistem durante rotação de chave — valide ambos até receptores atualizarem cache.

FAQ

Consultas são registradas centralmente?

Execução ambiente navegador segundo MoreKits — evite digitar esquemas ultra sensíveis em máquinas compartilhadas se política proibir.

Envia e-mails teste?

Não — só lê DNS ; teste entregabilidade ainda exige seeds multi-fornecedor.

Considerações IPv6

Alguns MX publicam AAAA — verifique alcance dual-stack separadamente da correção DNS.