Os registos de correio no DNS

No nosso trabalho precisamos registar ou transferir nomes de domínios, rever os registos ou criá-los novos, etc. É a gestão dos registos DNS e permitem que os serviços funcionem.

Um dos serviços mais importantes associados com os domínios é o serviço de correio. Trata-se dum recurso crítico e portanto não pode ser negligenciado ou configurado de forma descuidada. Vou passar alguma informação técnica, mas sem querer aprofundar demasiado para não complicar. Facilmente podem pesquisar na Internet e localizar todo o tipo de explicações e detalhes extremamente sofisticados para cada um deles.

Quando registamos um domínio, devem ser associados um conjunto de registos com ele. Estes registos são usados por quem quer enviar correios para determinar exatamente em que servidor devem ser feitas as entregas. Da mesma forma, quando um servidor recebe correios com o nosso domínio no remetente, este pode consultar os registos do domínio para determinar se quem está a fazer os envios está autorizado para tal ou não. Estes são os principais registos:

MX (Mail eXchange)

Os registos de tipo MX indicam o servidor onde devem ser feitas as entregas de correio. Podemos ter 1 ou mais registos MX com diferentes pesos.

Quando enviamos um correio a DESTINATARIO@DOMINIO.PT, é feita uma consulta para obter a lista de servidores em registos de tipo MX ordenada de menor a maior peso. De seguida tenta-se fazer a entrega do correio nessa mesma ordem.

SPF (Sender Policy Framework)

Trata-se dum registo de tipo TXT e especifica os servidores a partir dos quais um domínio envia correios.

Este registo permite reduzir a quantidade de correios de lixo que circulam na Internet: quando um servidor X recebe um correio enviado por REMITENTE@DOMINIO.PT a partir dum outro servidor Y, a primeira coisa que o servidor X faz é obter o registo TXT contendo os dados SPF e verificar se o servidor Y aparece na lista de servidores autorizados para esse domínio.
Se o servidor Y não faz parte da lista, o correio não é aceite.

DKIM (Domain Keys Identified Mail)

É um sistema de assinaturas digitais pelo qual todos os correios enviados são acompanhados dum campo assinado com uma chave privada pelo servidor de envio.

O servidor que recebe o correio pode verificar o campo anterior obtendo a chave pública a partir dos servidores especificados nos registos DNS sob o formato CNAME.

Pode ser um pouco mais complicado de configurar mas oferece uma maior garantia de que quem envio o correio é quem diz que é.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

É um registo de tipo TXT. Permite definir as ações a tomar quando a receção dum correio falha nas validações SPF ou DKIM. As ações tomadas podem passar por não fazer nada, dar indicação de que o correio deve ficar em quarentena (ou reencaminhado para algum outro serviço) ou rejeitado completamente.

Em conjunto, estes registo permitem configurar os envios e receções de correio, oferecer garantias a quem recebe o nosso correio e proteger-nos contra correios adulterados.

E agora já pode olhar para os registos DNS e perceber um pouco melhor para quê serve cada coisa. E se tiver dúvidas, contacte-nos!