DNS explicado para donos de PME: A, MX, CNAME, TXT em linguagem humana

A primeira vez que partes o site é quase sempre a mexer no DNS. Mudas um registo "porque o programador disse", o email deixa de chegar, e fica tudo parado 24h enquanto reverte e propaga. O DNS não é difícil — é só pouco familiar. Em 15 minutos consegues passar de medo a competência básica.

Este guia explica os registos que existem, para que servem, e os 5 erros que partem domínios de PME em Portugal.

O que é o DNS, em duas frases

O DNS é a lista telefónica da internet. Tu escreves teusite.pt no navegador, e o DNS converte isso no IP do servidor onde o site vive (192.0.2.10). Sem DNS, terias de decorar números.

Quando registas um domínio (.pt na DNS.pt, .com num registrar internacional), recebes acesso a uma zona DNS — uma tabela onde defines como o teu domínio se comporta: onde está o site, para onde vai o email, e várias verificações de segurança.

Os 6 tipos de registo que vais encontrar

Registo A — aponta para o site

O mais comum. Diz "este nome corresponde a este IP".

teusite.pt        A    203.0.113.10
www.teusite.pt    A    203.0.113.10

Se o teu site mudar de alojamento, alteras o A. Se não houver A, o domínio "não tem site".

Registo AAAA — versão IPv6

Igual ao A mas para endereços IPv6 (2001:db8::1). A maioria dos provedores configura automaticamente. Não te preocupes a menos que estejas a apontar manualmente.

Registo CNAME — apelido para outro nome

"Este nome é o mesmo que aquele." Útil para subdomínios apontados a serviços externos.

blog.teusite.pt    CNAME    sitesfixe.vercel.app
loja.teusite.pt    CNAME    teusite.myshopify.com

Não podes ter CNAME na raiz do domínio (teusite.pt) — só em subdomínios. Em raiz usas A ou ALIAS/ANAME (alguns DNS suportam).

Registo MX — para onde vai o email

Diz "o email para @teusite.pt deve ir para este servidor".

teusite.pt    MX    10  aspmx.l.google.com
teusite.pt    MX    20  alt1.aspmx.l.google.com

O número (10, 20) é a prioridade — menor número, mais prioritário. Se uses Google Workspace, Microsoft 365, Zoho, ou outro provider, o painel deles dá-te os MX exatos a configurar. Sem MX, o email não funciona.

Registo TXT — informação livre

Texto associado ao domínio. Hoje em dia usado quase só para 3 coisas:

• Verificação de propriedade ("o Google precisa que provas que controlas este domínio").
• SPF — quem está autorizado a enviar email em nome do domínio.
• DKIM/DMARC — assinatura e política de email.

Registo NS — nameservers

Diz "a verdadeira zona DNS deste domínio vive nestes servidores". Configurado no registrar (DNS.pt, GoDaddy, Cloudflare). Mexer aqui sem entender é a forma mais rápida de partir tudo durante 48h.

Email profissional — a checklist SPF / DKIM / DMARC

Para email a partir do teu domínio chegar à inbox (e não ao spam), três TXT são quase obrigatórios em 2026. Gmail e Outlook rejeitam ativamente domínios sem isto.

SPF — quem pode enviar

teusite.pt    TXT    "v=spf1 include:_spf.google.com ~all"

Diz: "só os servidores do Google podem enviar email com @teusite.pt. Se vier de outro, marca suspeito (~all)". Tens 1 SPF por domínio, nunca dois (erro comum).

DKIM — assinatura criptográfica

O teu provider de email (Google, Microsoft, Resend) dá-te um TXT pré-formatado com uma chave pública. Adicionas, e os emails enviados ficam assinados — o destinatário pode verificar a assinatura.

DMARC — política e relatório

_dmarc.teusite.pt    TXT    "v=DMARC1; p=quarantine; rua=mailto:dmarc@teusite.pt"

Diz: "se o email falhar SPF ou DKIM, manda para spam (quarantine). E envia-me relatórios para dmarc@teusite.pt". Começa com p=none (só monitorizar), depois p=quarantine, depois p=reject quando tens confiança.

O guia de email profissional no domínio detalha como cada provider configura estes três. Fazer isto bem é o que separa "o email chega" de "o email vai para o spam de 30% dos clientes".

Separar email do site (o melhor padrão)

Erro comum: o mesmo provider faz alojamento web e email. Quando precisas de mudar o site, mudas o domínio inteiro, e o email vai com ele — perdes 24h de email e o pesadelo do "porque é que não recebes a fatura?" começa.

A boa prática:

• Domínio num registrar dedicado (DNS.pt, Cloudflare Registrar, Porkbun).
• DNS num provider rápido e independente (Cloudflare grátis, ou o do registrar).
• Site num alojamento (Vercel, SiteGround, Domínios.pt).
• Email num provider especializado (Google Workspace ~6€/mês, Microsoft 365, Zoho).

Cada um vive na sua casa. Mudas qualquer um sem afetar os outros.

Propagação DNS — porque é que demora

Quando alteras um registo, a mudança não é instantânea para o mundo todo. Cada servidor DNS na internet tem o teu registo em cache, com um tempo definido pelo TTL (Time To Live). TTL típico: 3.600 segundos (1 hora) a 86.400 (24 horas).

Regras práticas:

• Antes de uma mudança planeada, baixa o TTL para 300 (5 minutos) com 24h de antecedência. Os caches expiram, e a mudança vai propagar rápido.
• Depois de mudar e estabilizar, sobe TTL de volta para 3600 ou 86400 (reduz carga e custos).
• Para ver onde já propagou: dnschecker.org.

"Propagação demora 48h" é mito da indústria. Se planeaste TTL bem, propaga em 10 minutos. Se não planeaste, podes esperar até 48h.

Os 5 erros que partem domínios de PME

Resumo dos casos que tratamos com mais frequência:

1. Mudar nameservers (NS) sem clonar a zona primeiro. Perdes registos MX, TXT, SPF, todos. Email para de chegar.
2. Apagar o registo A da raiz pensando que é seguro. Site fica offline imediatamente.
3. Adicionar segundo SPF. Erro silencioso — emails começam a falhar SPF gradualmente.
4. Colocar CNAME na raiz (teusite.pt CNAME ...). Inválido por RFC. Quebra resolução para alguns clientes.
5. TTL alto + mudança sem aviso. Site/email parte para metade dos utilizadores até cache expirar.

Cada um destes resolve-se em minutos se sabes o que aconteceu. Se não sabes, viras 6 horas a debugar no escuro.

Cloudflare grátis à frente do DNS

A Cloudflare oferece DNS gratuito com vantagens reais para PME:

• Propagação rápida — alterações em segundos, não horas.
• Proxy opcional (a nuvem laranja) — esconde o IP do servidor, adiciona DDoS protection e CDN básico.
• Analytics de DNS — vês quem está a consultar o teu domínio.
• DNSSEC com um clique — protege contra envenenamento de DNS.

Único caveat: a Cloudflare não opera como registrar para .pt. Mantens o registo na DNS.pt (ou revendedor) e apontas os NS para a Cloudflare. O domínio é teu na DNS.pt; o DNS gere-se em Cloudflare.

Para .com, .net, .eu, podes ter tudo na Cloudflare (registrar + DNS) ao preço de custo. Para PME que tenha ambos, dois painéis separados é o padrão real.

DNSSEC — vale a pena

DNSSEC adiciona assinatura criptográfica aos registos DNS. Garante ao navegador que a resposta DNS vem mesmo do dono do domínio, não de um atacante que envenenou um resolver.

Em 2026, a maioria das PMEs não tem DNSSEC ativo. O custo é zero (Cloudflare ativa com 1 clique, DNS.pt suporta). O risco sem isso é baixo mas crescente. Para sites institucionais simples, nice-to-have. Para lojas online ou sites com login, recomendado.

Quando precisas de mexer no DNS sozinho

Resposta honesta: quase nunca. O DNS bem configurado fica anos sem ser tocado. Os momentos em que vais mexer:

• Mudar de alojamento — atualizar registo A. Se planeares (ver mudar alojamento sem downtime), é tranquilo.
• Mudar de provider de email — atualizar MX + SPF + DKIM.
• Adicionar subdomínio (loja.teusite.pt → Shopify, blog.teusite.pt → Webflow).
• Verificar Google Search Console, Meta, etc. — adicionar TXT temporário.

Se a tua agência sabe o que faz, configura tudo no primeiro setup e não tens de tocar mais. Se cada mudança parte algo, é sinal que o setup inicial foi rápido demais.

DNS.pt vs registrars internacionais

Para domínios .pt, o registro central é a DNS.pt. Podes registar diretamente ou através de revendedores. Diferenças relevantes:

• DNS.pt direto: ~20€/ano, interface técnica, suporte português.
• Revendedores PT (Domínios.pt, PTisp, AMEN): preços similares, interfaces variáveis.
• Cloudflare Registrar: não suporta .pt. Só .com, .net, etc.
• GoDaddy / Namecheap: suportam .pt via revenda, mas processo de transferência é mais lento.

A escolha entre .pt, .com ou .eu tem outras dimensões além de DNS.

Em resumo

O DNS é uma tabela com 4-6 tipos de registo que dizem onde vive o site (A), para onde vai o email (MX), quem pode enviar email em teu nome (TXT/SPF/DKIM/DMARC), e como subdomínios redirecionam (CNAME). A maior parte dos erros vem de mexer sem entender — apagar A da raiz, duplicar SPF, mudar NS sem clonar zona. Se separares domínio, DNS, site e email em provedores diferentes, ganhas resiliência (e podes mudar qualquer um sem partir tudo). Para mudanças planeadas, baixa TTL antes — propagação em horas, não 48h. Para PME portuguesa típica, mexes no DNS uma vez por ano, e idealmente para adicionar algo, não corrigir.

---

No sitesfixe.pt configuramos DNS, email profissional e SPF/DKIM/DMARC no setup do site — sem deixar a PME sozinha a debater registos com o provider. Se queres entregar o site com domínio e email a funcionar à primeira, fala connosco. Sites desde 1.500€.

Lê também:

• Como registar domínio em Portugal
• Domínio .pt, .com ou .eu: qual escolher
• Email profissional no domínio: setup completo

Fontes

• DNS.pt — registo de domínios .pt
• IETF RFC 1035 — especificação do DNS
• DMARC.org — política de email