T
dns security dig dnssec dnsbl sysadmin

Ferramentas DNS Avançadas e Segurança: Domine dig, DNSSEC e DNSBL

Um guia completo sobre segurança e diagnóstico DNS. Aprenda a usar o comando dig, validar DNSSEC e verificar a reputação de IPs com DNSBL/RBL.

2026-04-12

Ferramentas DNS Avançadas e Segurança: Domine dig, DNSSEC e DNSBL

O Sistema de Nomes de Domínio (DNS) é frequentemente chamado de "lista telefônica da Internet". Embora seu trabalho principal seja traduzir nomes legíveis por humanos, como example.com, em endereços IP, o DNS moderno envolve camadas de segurança complexas e ferramentas de diagnóstico. Este guia cobre ferramentas essenciais para administradores de rede e desenvolvedores: o comando dig, DNSSEC para segurança e DNSBL para gestão de reputação.

Dominando o comando dig

O comando dig (Domain Information Groper) é uma ferramenta flexível para interrogar servidores de nomes DNS. É o sucessor do nslookup e é preferido pelos administradores de sistemas por sua saída detalhada.

Sintaxe Básica

dig @servidor_nomes domínio tipo

Exemplos Comuns

  • Consultar registro A: dig google.com A
  • Consultar registros MX (E-mail): dig google.com MX
  • Usar um servidor DNS específico (ex: Google DNS): dig @8.8.8.8 google.com
  • Saída curta (apenas IP): dig google.com +short
  • Rastrear a delegação: dig google.com +trace (Ótimo para encontrar onde uma consulta falha)

DNSSEC: Protegendo a Lista Telefônica

O DNS padrão é vulnerável a "envenenamento de cache" ou "spoofing", onde um hacker envia dados DNS falsos para um resolvedor. O DNSSEC (Domain Name System Security Extensions) adiciona assinaturas criptográficas aos registros DNS, garantindo que os dados sejam autênticos e não tenham sido adulterados.

Como o DNSSEC funciona

  1. RRSIG: Cada conjunto de registros é assinado com uma chave privada.
  2. DNSKEY: A chave pública usada para verificar a assinatura é armazenada no DNS.
  3. DS (Delegation Signer): Um hash da chave pública é armazenado na zona pai (ex: .com armazena o registro DS de example.com).

Validando DNSSEC

Você pode verificar se um domínio possui DNSSEC válido usando:

dig example.com +dnssec

Procure pelo registro RRSIG na seção de respostas (answer section).

DNSBL/RBL: Protegendo contra Spam

DNSBL (DNS-based Blackhole List), também conhecido como RBL (Real-time Blackhole List), é um mecanismo usado para rastrear endereços IP que são fontes conhecidas de spam ou malware.

Os servidores de e-mail usam DNSBL para decidir se aceitam e-mails recebidos. Se o IP do remetente estiver em uma lista negra, o e-mail é rejeitado ou marcado como spam.

Como verificar uma lista negra

A maioria das DNSBLs usa um formato de consulta DNS específico: ip-invertido.domínio-lista-negra

Exemplo (Verificando se 1.2.3.4 está na Spamhaus): dig 4.3.2.1.zen.spamhaus.org

  • Se retornar um IP (geralmente 127.0.0.x), ele está listado.
  • Se retornar NXDOMAIN, ele não está listado.

Tabela de Comparação: Tipos de Registros DNS

Tipo Nome Completo Propósito Valor de Exemplo
A Address Mapeia domínio para IPv4 93.184.216.34
AAAA IPv6 Address Mapeia domínio para IPv6 2606:2800:220:1:248:1893:25c8:1946
CNAME Canonical Name Alias para outro domínio web.example.com
MX Mail Exchange Rota para e-mail 10 mail.example.com
TXT Text Notas legíveis por humanos/máquinas v=spf1 include:_spf.google.com ~all
CAA Certificate Auth Limita quais CAs podem emitir certs 0 issue "letsencrypt.org"

FAQ: Problemas Comuns de DNS

P: Minhas alterações de DNS não estão aparecendo. Por quê?

R: Isso geralmente se deve ao TTL (Time To Live). Os registros DNS são armazenados em cache pelos resolvedores. Se o seu TTL foi configurado para 86400 (24 horas), pode levar esse tempo para as alterações se propagarem globalmente.

P: Qual é a diferença entre DNS Recursivo e Autoritativo?

R: Servidores recursivos (como 8.8.8.8) encontram a informação para você. Servidores autoritativos são a fonte oficial da verdade para um domínio específico.

P: Por que o IP do meu servidor está na lista negra?

R: Seu servidor pode estar enviando spam (talvez devido a um script comprometido) ou você está usando uma faixa de IP "suja" usada anteriormente por spammers. Use uma ferramenta de verificação DNSBL para descobrir em quais listas você está.

Ferramentas Relacionadas

  • Comando dig Online: Execute consultas DNS complexas a partir do seu navegador (Em breve).
  • Validador DNSSEC: Verifique a saúde criptográfica do seu domínio.
  • Verificador de Lista Negra: Verifique se o seu IP está em alguma das principais DNSBL/RBL.
  • Gerador de Arquivo de Zona DNS: Crie arquivos BIND/Zone válidos para o seu servidor.
Voltar ao blog