DNS corporativo: o que é, como funciona e por que sua empresa precisa configurar

Introdução

DNS é uma das tecnologias mais fundamentais da internet, e uma das menos compreendidas por gestores de TI de PMEs. Quando você digita "accertiva.com.br" no navegador, é o DNS que traduz esse nome legível para o endereço IP real do servidor. Sem DNS, a internet simplesmente não funciona.

Mas o DNS vai muito além dessa função básica. Configurado corretamente, o DNS corporativo protege sua empresa contra phishing e malware, acelera a navegação da rede, permite controle do que os colaboradores acessam e garante que seus e-mails não caiam na caixa de spam dos clientes. Este artigo explica o que é DNS corporativo e por que sua empresa precisa prestar atenção nisso.

O que é DNS e como funciona

DNS significa Domain Name System, Sistema de Nomes de Domínio. É o "catálogo telefônico" da internet: converte nomes de domínio legíveis por humanos em endereços IP legíveis por máquinas.

Quando você acessa gmail.com, seu computador pergunta ao servidor DNS: "qual é o endereço IP do gmail.com?" O DNS responde com algo como "142.250.79.85" e seu navegador se conecta a esse endereço. Tudo isso acontece em milissegundos, de forma transparente.

Existem diferentes tipos de servidores DNS na hierarquia: servidores raiz, servidores de domínio de topo (.com, .br, .org), servidores autoritativos (que têm as respostas definitivas para cada domínio) e resolvers recursivos (que fazem a consulta em nome do seu computador).

No contexto corporativo, o DNS que importa é o resolver, o servidor DNS que sua rede usa para resolver consultas dos computadores internos.

DNS corporativo vs DNS do provedor

Por padrão, quando você contrata um link de internet, o provedor configura automaticamente seus equipamentos para usar os servidores DNS dele. Isso funciona, mas não é a melhor opção para empresas.

Problemas do DNS do provedor:

Velocidade variável, servidores DNS de provedores menores podem ser lentos ou instáveis. Sem proteção contra domínios maliciosos, o DNS do provedor não bloqueia sites de phishing ou malware. Privacidade, o provedor vê todos os domínios que sua empresa consulta. Sem controle de conteúdo, você não pode bloquear categorias de sites.

Alternativas melhores:

DNS público de alta performance:

Cloudflare (1.1.1.1): o mais rápido do mundo segundo benchmarks independentes. Google (8.8.8.8): confiável e rápido. Quad9 (9.9.9.9): filtra domínios maliciosos automaticamente, gratuito e sem configuração adicional.

DNS corporativo com filtragem:

Cloudflare Gateway, Cisco Umbrella, NextDNS, permitem criar políticas de bloqueio por categoria, monitorar consultas DNS da empresa e bloquear domínios maliciosos em tempo real.

DNS filtering, proteção contra malware e phishing

O DNS filtering é uma das camadas de segurança mais eficazes e simples de implementar. Quando um colaborador clica em um link de phishing ou tenta acessar um site de malware, o DNS filtering verifica se o domínio está na lista de domínios maliciosos conhecidos, e se estiver, bloqueia o acesso antes mesmo de o navegador se conectar.

Como funciona na prática:

Colaborador clica em link de phishing → computador consulta DNS → DNS verifica o domínio → domínio está na lista de bloqueio → DNS retorna "domínio bloqueado" → navegador mostra página de aviso → ataque é frustrado.

O DNS filtering não substitui antivírus e EDR, mas adiciona uma camada de proteção que funciona mesmo para ameaças novas que o antivírus ainda não conhece, porque bloqueia pela reputação do domínio, não pela assinatura do malware.

Quad9 (9.9.9.9): opção gratuita que bloqueia domínios maliciosos automaticamente. Basta configurar como DNS primário no roteador, sem custo e sem configuração adicional.

Cloudflare Gateway / NextDNS: opções com mais controle, permitem criar políticas personalizadas, ver relatórios de consultas bloqueadas e definir categorias de sites permitidos e bloqueados.

Registros DNS do seu domínio, o que precisa configurar

Além do DNS que sua empresa usa para navegar, há os registros DNS do seu próprio domínio, que determinam como e-mails, sites e outros serviços funcionam.

Registro A: aponta o domínio para o endereço IP do servidor web. `accertiva.com.br → IP do servidor`.

Registro MX: define qual servidor recebe e-mails do domínio. Sem MX configurado corretamente, e-mails enviados para seu domínio não chegam.

Registro SPF (TXT): lista quais servidores têm autorização para enviar e-mail pelo seu domínio. Sem SPF, qualquer pessoa pode enviar e-mails se passando pela sua empresa, e muitos servidores de e-mail rejeitam ou marcam como spam mensagens sem SPF.

Registro DKIM (TXT): assinatura criptográfica que prova que o e-mail foi realmente enviado pelo seu servidor. Aumenta a confiabilidade dos e-mails e reduz significativamente a chance de cair em spam.

Registro DMARC (TXT): política que define o que fazer com e-mails que falham nas verificações SPF e DKIM, rejeitar, colocar em quarentena ou apenas monitorar. Com DMARC configurado em modo de rejeição, e-mails falsificados com seu domínio são automaticamente rejeitados pelos servidores de destino.

Registro CNAME: apelido que aponta um subdomínio para outro domínio. Usado para configurar subdomínios como `mail.empresa.com.br` ou `www.empresa.com.br`.

Por que SPF, DKIM e DMARC são obrigatórios em 2026

Em fevereiro de 2024, Google e Yahoo anunciaram que passariam a exigir SPF, DKIM e DMARC para e-mails enviados em volume. Empresas sem esses registros começaram a ter e-mails rejeitados ou marcados como spam automaticamente.

Para PMEs em São Paulo, isso significa que se você envia propostas comerciais, e-mails de cobrança ou comunicações importantes sem SPF, DKIM e DMARC configurados, uma parte significativa dessas mensagens pode estar indo para a caixa de spam dos seus clientes, sem você saber.

Configure os três registros, é gratuito, leva algumas horas e impacta diretamente a entregabilidade dos seus e-mails.

DNS interno para redes corporativas com servidor local

Empresas com Active Directory e servidor local precisam de um servidor DNS interno, geralmente o próprio servidor Windows que hospeda o AD. Esse DNS interno resolve nomes de recursos internos da empresa: `servidor.accertiva.local`, `impressora01.accertiva.local`.

O DNS interno é configurado automaticamente pelo Active Directory. O importante é garantir que ele encaminha corretamente as consultas externas para um DNS público confiável.

Como a Accertiva configura DNS para empresas em São Paulo

A Accertiva configura e audita registros DNS para PMEs em São Paulo: SPF, DKIM e DMARC para melhorar entregabilidade de e-mail, DNS filtering para proteção contra phishing e malware, e DNS interno para empresas com Active Directory.

Perguntas frequentes sobre DNS corporativo

Como saber se meu domínio tem SPF, DKIM e DMARC configurados?

Use ferramentas gratuitas online como MXToolbox (mxtoolbox.com) ou Mail Tester (mail-tester.com). Insira seu domínio e a ferramenta verifica todos os registros DNS de e-mail e indica o que está faltando ou mal configurado.

Trocar o DNS do roteador para Cloudflare ou Quad9 afeta algo na rede?

A troca é transparente para os usuários, eles continuam navegando normalmente. A diferença é que as consultas DNS passam por um servidor mais rápido e mais seguro. A única mudança perceptível é que alguns sites maliciosos deixam de abrir (Quad9 bloqueia automaticamente). Não há impacto negativo.

O DNS filtering bloqueia conteúdo pessoal dos funcionários?

Depende da configuração. O Quad9 gratuito bloqueia apenas domínios maliciosos, não conteúdo adulto ou redes sociais. O Cloudflare Gateway e NextDNS permitem criar políticas personalizadas para bloquear categorias específicas como redes sociais, streaming e jogos durante o horário de trabalho. A decisão de bloquear ou não é da empresa.

Meu e-mail está caindo em spam, pode ser problema de DNS?

Sim, é uma das causas mais comuns. SPF ausente ou mal configurado, DKIM não configurado e DMARC ausente fazem com que servidores de e-mail modernos marquem as mensagens como spam ou as rejeitem diretamente. Verifique os registros DNS com MXToolbox antes de investigar outras causas.

Os registros DNS da sua empresa em São Paulo estão configurados corretamente? A Accertiva faz diagnóstico gratuito de DNS e e-mail. Solicitar diagnóstico gratuito