Conheça os tipos de registros DNS: o guia completo sobre A, AAAA, NS, CNAME, MX, PTR, SOA, TXT, SRV, SPF e muito mais

Um dos artigos mais acessados do blog é um artigo onde eu explico o básico sobre registros DNS e eu resolvi fazer uma V2 que explica mais aprofundada sobre como funcionam os registros e trazer a vocês um pouco mais de exemplos.

O DNS é um dos pilares invisíveis da internet. Ele é o “tradutor” que transforma nomes legíveis — como codigosimples.net — em endereços IP compreendidos por máquinas, como 172.62.123.21.

Mas o DNS vai muito além de “apontar nomes para IPs”.
Ele define regras, prioriza servidores de e-mail, valida certificados de segurança, autentica remetentes e até controla políticas de privacidade e desempenho.

Desde a publicação da versão original deste artigo em 2017, o DNS evoluiu consideravelmente.
Novos registros surgiram, padrões se consolidaram (como DNSSEC e DNS over HTTPS), e a segurança e a performance ganharam papéis centrais.

Se antes o DNS era apenas um “roteador lógico” da internet, hoje ele é parte essencial da infraestrutura de confiança digital.

Neste artigo, você vai entender — em linguagem simples, direta e atualizada — o que faz cada tipo de registro DNS, para que serve e quando utilizá-lo.

---

1. Registro A — o clássico mapeamento IPv4

O registro A (Address) é o mais tradicional e essencial do DNS.
Ele associa um nome de domínio a um endereço IPv4, o formato mais antigo e ainda amplamente usado.

codigosimples.net.    IN    A    172.67.143.21

Quando você digita codigosimples.net no navegador, o DNS consulta esse registro e descobre que o site está hospedado nesse IP.

Mesmo com a popularização do IPv6, o registro A continua sendo necessário, já que grande parte dos dispositivos e provedores ainda operam predominantemente em IPv4.

---

2. Registro AAAA — o futuro (que já chegou) com IPv6

O registro AAAA (chamado de “quad-A”) é o equivalente IPv6 do registro A.

codigosimples.net.    IN    AAAA    2606:4700:3036::6815:5a3d

A principal diferença está na capacidade: enquanto o IPv4 usa 32 bits, o IPv6 usa 128 bits, oferecendo trilhões de endereços possíveis.
Isso elimina a escassez de IPs e melhora a eficiência de roteamento.

Hoje, provedores como Google, Cloudflare e AWS já servem conteúdo via IPv6 nativamente — e muitos navegadores dão prioridade a ele quando disponível.

Dica prática:
Se você mantém um site público, sempre configure A e AAAA. O IPv6 ainda é opcional, mas será inevitável.

---

3. Registro NS — quem responde pelo domínio

O registro NS (Name Server) define quais servidores DNS são responsáveis por um domínio.

codigosimples.net.    IN    NS    ns1.cloudflare.com.
codigosimples.net.    IN    NS    ns2.cloudflare.com.

Esses registros informam à internet:
“se quiser saber algo sobre este domínio, pergunte a esses servidores”.

Eles são essenciais porque determinam onde está o arquivo de zona DNS — ou seja, onde estão todos os outros registros (A, MX, CNAME, etc.).

Em empresas que usam Cloudflare, AWS Route 53, GoDaddy ou Google Domains, esses NS são configurados automaticamente durante a delegação do domínio.

---

4. Registro CNAME — um apelido inteligente

O CNAME (Canonical Name) cria um apelido para outro domínio.
Em vez de apontar diretamente para um IP, ele aponta para outro nome que, por sua vez, resolve para um IP.

blog.codigosimples.net.    IN    CNAME    codigosimples.net.

Assim, qualquer mudança no destino principal (codigosimples.net) é refletida automaticamente no subdomínio (blog.codigosimples.net).

É muito útil para serviços externos, como CDNs, blogs ou APIs hospedadas por terceiros (ex: api.codigosimples.com → backend.api.cloudprovider.net).

---

5. Registro MX — o carteiro dos e-mails

O registro MX (Mail Exchange) define para onde os e-mails do domínio devem ser entregues.

codigosimples.net.    IN    MX    10    aspmx.l.google.com.
codigosimples.net.    IN    MX    20    alt1.aspmx.l.google.com.

O número à esquerda (10, 20, etc.) representa a prioridade — quanto menor o número, maior a prioridade.
Isso permite redundância: se o servidor principal estiver fora do ar, o próximo assume.

Em tempos de SPF, DKIM e DMARC, o MX continua sendo o ponto de partida para uma política de e-mail segura.

---

6. Registro PTR — o DNS ao contrário

O registro PTR (Pointer) é o oposto do registro A.
Enquanto o A traduz um nome para um IP, o PTR traduz um IP para um nome.

Ele é usado principalmente em verificações de segurança e reputação, como validação de servidores de e-mail.

21.143.67.172.in-addr.arpa.    IN    PTR    codigosimples.net.

Se o servidor de e-mail não tem um PTR válido, ele pode ser classificado como spammer.
Por isso, todo servidor de envio de e-mails deve ter um PTR configurado.

---

7. Registro SOA — o registro “mestre” da zona

O registro SOA (Start of Authority) é o primeiro da zona DNS.
Ele define quem é o autoridade principal do domínio e traz informações críticas de sincronização e cache.

codigosimples.net. IN SOA ns1.cloudflare.com. admin.codigosimples.net. (
    2025010701 ; serial
    7200       ; refresh
    3600       ; retry
    1209600    ; expire
    3600 )     ; minimum TTL

Esses valores controlam:

• serial: versão do arquivo de zona (para sincronização entre servidores).
• refresh/retry: intervalos de atualização.
• expire: tempo máximo de validade.
• minimum TTL: tempo de cache padrão.

---

8. Registro TXT — o canivete suíço do DNS

O TXT (Text Record) é o tipo mais flexível do DNS.
Ele permite armazenar qualquer texto arbitrário, e hoje é usado para autenticação, verificação de propriedade e políticas de segurança.

codigosimples.net. IN TXT "v=spf1 include:_spf.google.com ~all"

Esse exemplo define uma política SPF, dizendo quais servidores podem enviar e-mails em nome do domínio.
Outros usos modernos do TXT incluem:

• Verificação de domínio (Google Workspace, Microsoft 365, AWS).
• Assinaturas DKIM e DMARC.
• Chaves de API e validações de automação (ACME, Let’s Encrypt).

---

9. Registro SRV — localizando serviços

O SRV (Service Record) especifica onde um serviço específico está hospedado (como SIP, LDAP, ou Minecraft).

_sip._tcp.codigosimples.net. IN SRV 10 60 5060 sipserver.codigosimples.net.

Ele informa:

• prioridade (10),
• peso (60),
• porta (5060),
• e o host responsável (sipserver.codigosimples.net).

Com o crescimento de microservices, o SRV voltou a ganhar relevância, sendo usado para descoberta de serviços dinâmica em plataformas como Kubernetes e Consul.

---

10. Registro SPF — autenticando e-mails

SPF (Sender Policy Framework) originalmente era um tipo de registro próprio, mas foi absorvido pelo TXT.

Ele serve para informar quais IPs e domínios estão autorizados a enviar e-mails em nome do domínio.

v=spf1 include:_spf.google.com -all

• include adiciona domínios autorizados.
• -all rejeita qualquer outro remetente.

Hoje, SPF é uma das três bases da autenticação moderna de e-mails, junto com DKIM e DMARC.

---

11. Registros modernos e avanços recentes

Nos últimos anos, o DNS ganhou novas funções e registros:

CAA (Certification Authority Authorization)

Controla quais autoridades certificadoras (CAs) podem emitir certificados SSL/TLS para o domínio.

codigosimples.net. IN CAA 0 issue "letsencrypt.org"

Evita que terceiros emitam certificados falsos — uma camada essencial de segurança.

---

DS e DNSKEY — o núcleo do DNSSEC

O DNSSEC adiciona assinaturas criptográficas aos registros DNS, impedindo falsificação (spoofing).

• DNSKEY contém a chave pública usada para validação.
• DS (Delegation Signer) conecta a assinatura do domínio ao TLD (como .net).

Esses dois registros formam a base de uma cadeia de confiança que vai do root DNS até o domínio final.

---

HTTPS e SVCB — os novos protagonistas

Introduzidos recentemente, os registros HTTPS e SVCB (Service Binding) ajudam a otimizar conexões modernas com HTTP/3 e QUIC.

Eles permitem que o cliente descubra pré-configurações seguras e rápidas, como suporte a HTTP/3, HSTS e prioridades de CDN.

codigosimples.net. IN HTTPS 1 . alpn="h3,h2" ipv4hint="172.67.143.21"

Esses registros substituem o uso de A/AAAA + SRV em contextos modernos.

---

12. O DNS do futuro: segurança, privacidade e velocidade

O DNS não é mais apenas sobre resolução de nomes — é sobre confiança e performance.
A era de DNS aberto e sem criptografia ficou para trás.

Hoje, os navegadores e sistemas operacionais já adotam:

• DNS over HTTPS (DoH) — consultas DNS criptografadas via HTTPS.
• DNS over TLS (DoT) — segurança no nível de transporte.
• Encrypted Client Hello (ECH) — protege o próprio handshake TLS, ocultando o nome do domínio (SNI).

Juntos, esses avanços garantem privacidade do usuário e impedem espionagem de tráfego DNS.

---

Conclusão

O DNS evoluiu de uma simples “agenda de endereços” para uma infraestrutura crítica de segurança, performance e confiança digital.
Ele conecta a camada humana da internet — nomes, marcas, serviços — à camada lógica — IPs, protocolos e chaves criptográficas.

Entender os registros DNS é entender o funcionamento da internet moderna.
E dominá-los é o que diferencia quem apenas configura domínios de quem realmente projeta sistemas robustos, seguros e escaláveis.

---

📚 Leituras recomendadas

• RFC 1035 – Domain Names: Implementation and Specification
• RFC 8484 – DNS over HTTPS (DoH)
• RFC 9364 – Service Binding (SVCB and HTTPS)
• Cloudflare Learning: What is DNSSEC?
• Designing Data-Intensive Applications, Martin Kleppmann