DNS explicado para donos de PME: A, MX, CNAME, TXT em linguagem humana
A primeira vez que partes o site é quase sempre a mexer no DNS. Mudas um registo "porque o programador disse", o email deixa de chegar, e fica tudo parado 24h enquanto reverte e propaga. O DNS não é difícil, é só pouco familiar. Em 15 minutos consegues passar de medo a competência básica.
Este guia explica os registos que existem, para que servem, e os 5 erros que partem domínios de PME em Portugal.
O que é o DNS, em duas frases
O DNS é a lista telefónica da internet. Tu escreves teusite.pt no navegador, e o DNS converte isso no IP do servidor onde o site vive (192.0.2.10). Sem DNS, terias de decorar números.
Quando registas um domínio (.pt na DNS.pt, .com num registrar internacional), recebes acesso a uma zona DNS, uma tabela onde defines como o teu domínio se comporta: onde está o site, para onde vai o email, e várias verificações de segurança.
Os 6 tipos de registo que vais encontrar
Registo A, aponta para o site
O mais comum. Diz "este nome corresponde a este IP".
teusite.pt A 203.0.113.10
www.teusite.pt A 203.0.113.10
Se o teu site mudar de alojamento, alteras o A. Se não houver A, o domínio "não tem site".
Registo AAAA, versão IPv6
Igual ao A mas para endereços IPv6 (2001:db8::1). A maioria dos provedores configura automaticamente. Não te preocupes a menos que estejas a apontar manualmente.
Registo CNAME, apelido para outro nome
"Este nome é o mesmo que aquele." Útil para subdomínios apontados a serviços externos.
blog.teusite.pt CNAME sitesfixe.vercel.app
loja.teusite.pt CNAME teusite.myshopify.com
Não podes ter CNAME na raiz do domínio (teusite.pt), só em subdomínios. Em raiz usas A ou ALIAS/ANAME (alguns DNS suportam).
Registo MX, para onde vai o email
Diz "o email para @teusite.pt deve ir para este servidor".
teusite.pt MX 10 aspmx.l.google.com
teusite.pt MX 20 alt1.aspmx.l.google.com
O número (10, 20) é a prioridade, menor número, mais prioritário. Se uses Google Workspace, Microsoft 365, Zoho, ou outro provider, o painel deles dá-te os MX exatos a configurar. Sem MX, o email não funciona.
Registo TXT, informação livre
Texto associado ao domínio. Hoje em dia usado quase só para 3 coisas:
- Verificação de propriedade ("o Google precisa que provas que controlas este domínio").
- SPF, quem está autorizado a enviar email em nome do domínio.
- DKIM/DMARC, assinatura e política de email.
Registo NS, nameservers
Diz "a verdadeira zona DNS deste domínio vive nestes servidores". Configurado no registrar (DNS.pt, GoDaddy, Cloudflare). Mexer aqui sem entender é a forma mais rápida de partir tudo durante 48h.
Email profissional, a checklist SPF / DKIM / DMARC
Para email a partir do teu domínio chegar à inbox (e não ao spam), três TXT são quase obrigatórios em 2026. Gmail e Outlook rejeitam ativamente domínios sem isto.
SPF, quem pode enviar
teusite.pt TXT "v=spf1 include:_spf.google.com ~all"
Diz: "só os servidores do Google podem enviar email com @teusite.pt. Se vier de outro, marca suspeito (~all)". Tens 1 SPF por domínio, nunca dois (erro comum).
DKIM, assinatura criptográfica
O teu provider de email (Google, Microsoft, Resend) dá-te um TXT pré-formatado com uma chave pública. Adicionas, e os emails enviados ficam assinados, o destinatário pode verificar a assinatura.
DMARC, política e relatório
_dmarc.teusite.pt TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@teusite.pt"
Diz: "se o email falhar SPF ou DKIM, manda para spam (quarantine). E envia-me relatórios para dmarc@teusite.pt". Começa com p=none (só monitorizar), depois p=quarantine, depois p=reject quando tens confiança.
O guia de email profissional no domínio detalha como cada provider configura estes três. Fazer isto bem é o que separa "o email chega" de "o email vai para o spam de 30% dos clientes".
Separar email do site (o melhor padrão)
Erro comum: o mesmo provider faz alojamento web e email. Quando precisas de mudar o site, mudas o domínio inteiro, e o email vai com ele, perdes 24h de email e o pesadelo do "porque é que não recebes a fatura?" começa.
A boa prática:
- Domínio num registrar dedicado (DNS.pt, Cloudflare Registrar, Porkbun).
- DNS num provider rápido e independente (Cloudflare grátis, ou o do registrar).
- Site num alojamento (Vercel, SiteGround, Domínios.pt).
- Email num provider especializado (Google Workspace ~6€/mês, Microsoft 365, Zoho).
Cada um vive na sua casa. Mudas qualquer um sem afetar os outros.
Propagação DNS, porque é que demora
Quando alteras um registo, a mudança não é instantânea para o mundo todo. Cada servidor DNS na internet tem o teu registo em cache, com um tempo definido pelo TTL (Time To Live). TTL típico: 3.600 segundos (1 hora) a 86.400 (24 horas).
Regras práticas:
- Antes de uma mudança planeada, baixa o TTL para 300 (5 minutos) com 24h de antecedência. Os caches expiram, e a mudança vai propagar rápido.
- Depois de mudar e estabilizar, sobe TTL de volta para 3600 ou 86400 (reduz carga e custos).
- Para ver onde já propagou: dnschecker.org.
"Propagação demora 48h" é mito da indústria. Se planeaste TTL bem, propaga em 10 minutos. Se não planeaste, podes esperar até 48h.
Os 5 erros que partem domínios de PME
Resumo dos casos que tratamos com mais frequência:
- Mudar nameservers (NS) sem clonar a zona primeiro. Perdes registos MX, TXT, SPF, todos. Email para de chegar.
- Apagar o registo A da raiz pensando que é seguro. Site fica offline imediatamente.
- Adicionar segundo SPF. Erro silencioso, emails começam a falhar SPF gradualmente.
- Colocar CNAME na raiz (
teusite.pt CNAME ...). Inválido por RFC. Quebra resolução para alguns clientes. - TTL alto + mudança sem aviso. Site/email parte para metade dos utilizadores até cache expirar.
Cada um destes resolve-se em minutos se sabes o que aconteceu. Se não sabes, viras 6 horas a debugar no escuro.
Cloudflare grátis à frente do DNS
A Cloudflare oferece DNS gratuito com vantagens reais para PME:
- Propagação rápida, alterações em segundos, não horas.
- Proxy opcional (a nuvem laranja), esconde o IP do servidor, adiciona DDoS protection e CDN básico.
- Analytics de DNS, vês quem está a consultar o teu domínio.
- DNSSEC com um clique, protege contra envenenamento de DNS.
Único caveat: a Cloudflare não opera como registrar para .pt. Mantens o registo na DNS.pt (ou revendedor) e apontas os NS para a Cloudflare. O domínio é teu na DNS.pt; o DNS gere-se em Cloudflare.
Para .com, .net, .eu, podes ter tudo na Cloudflare (registrar + DNS) ao preço de custo. Para PME que tenha ambos, dois painéis separados é o padrão real.
DNSSEC, vale a pena
DNSSEC adiciona assinatura criptográfica aos registos DNS. Garante ao navegador que a resposta DNS vem mesmo do dono do domínio, não de um atacante que envenenou um resolver.
Em 2026, a maioria das PMEs não tem DNSSEC ativo. O custo é zero (Cloudflare ativa com 1 clique, DNS.pt suporta). O risco sem isso é baixo mas crescente. Para sites institucionais simples, nice-to-have. Para lojas online ou sites com login, recomendado.
Quando precisas de mexer no DNS sozinho
Resposta honesta: quase nunca. O DNS bem configurado fica anos sem ser tocado. Os momentos em que vais mexer:
- Mudar de alojamento, atualizar registo A. Se planeares (ver mudar alojamento sem downtime), é tranquilo.
- Mudar de provider de email, atualizar MX + SPF + DKIM.
- Adicionar subdomínio (
loja.teusite.pt→ Shopify,blog.teusite.pt→ Webflow). - Verificar Google Search Console, Meta, etc., adicionar TXT temporário.
Se a tua agência sabe o que faz, configura tudo no primeiro setup e não tens de tocar mais. Se cada mudança parte algo, é sinal que o setup inicial foi rápido demais.
DNS.pt vs registrars internacionais
Para domínios .pt, o registro central é a DNS.pt. Podes registar diretamente ou através de revendedores. Diferenças relevantes:
- DNS.pt direto: ~20€/ano, interface técnica, suporte português.
- Revendedores PT (Domínios.pt, PTisp, AMEN): preços similares, interfaces variáveis.
- Cloudflare Registrar: não suporta
.pt. Só.com,.net, etc. - GoDaddy / Namecheap: suportam
.ptvia revenda, mas processo de transferência é mais lento.
A escolha entre .pt, .com ou .eu tem outras dimensões além de DNS.
Em resumo
O DNS é uma tabela com 4-6 tipos de registo que dizem onde vive o site (A), para onde vai o email (MX), quem pode enviar email em teu nome (TXT/SPF/DKIM/DMARC), e como subdomínios redirecionam (CNAME). A maior parte dos erros vem de mexer sem entender, apagar A da raiz, duplicar SPF, mudar NS sem clonar zona. Se separares domínio, DNS, site e email em provedores diferentes, ganhas resiliência (e podes mudar qualquer um sem partir tudo). Para mudanças planeadas, baixa TTL antes, propagação em horas, não 48h. Para PME portuguesa típica, mexes no DNS uma vez por ano, e idealmente para adicionar algo, não corrigir.
No sitesfixe.pt configuramos DNS, email profissional e SPF/DKIM/DMARC no setup do site, sem deixar a PME sozinha a debater registos com o provider. Se queres entregar o site com domínio e email a funcionar à primeira, fala connosco. Sites desde 1.500€.
Lê também:
- Como registar domínio em Portugal
- Domínio .pt, .com ou .eu: qual escolher
- Email profissional no domínio: setup completo
Fontes
Precisas de um site ou loja online?
Agência digital em Portugal. Sites e lojas online rápidos, otimizados para o Google e feitos para destacar a tua empresa e vender mais.
Pedir orçamento