Por que domain health importa#

Quando a maioria dos times diz "o domínio está saudável", o que normalmente quer dizer é "o site retornou 200 da última vez que alguém checou". Esse é um sinal de pelo menos cinco — e quatro dos outros quatro causam mais indisponibilidades, mais perda de receita e mais dano à confiança do cliente do que o único que todo mundo fica olhando.

Um domínio é saudável quando está alcançável, seguro, autenticado, com boa reputação e observável. SEO depende disso (o Google penaliza mixed content, certs expirados e TTFB lento). Entregabilidade depende disso (Gmail e Yahoo agora rejeitam e-mail de domínios desalinhados para bulk senders). Segurança depende disso (um CNAME pendurado é um subdomain takeover esperando para acontecer). E a confiança do cliente depende disso (um aviso do navegador no momento em que o cartão de crédito está sendo digitado é uma conversão perdida e um reembolso disparado).

Este guia é uma auditoria de 5 minutos. No final, você vai saber exatamente qual dos cinco pilares está falhando silenciosamente no seu domínio agora, qual comando rodar para confirmar e qual ferramenta grátis da Nova Uptime usar para consertar. Sem enrolação, sem texto de marketing — só a auditoria que um SRE sênior faria se você passasse um domínio e perguntasse: "isso aqui está em forma?"

Os 5 pilares do domain health#

Antes de ir pilar por pilar, este é o modelo mental. Todo domínio saudável passa nos cinco checks. A maioria dos domínios em produção falha em pelo menos um — e o time raramente sabe até a falha virar um ticket de cliente.

Pilar 1: configuração DNS — A, AAAA, MX, CNAME, TXT, DNSSEC. Todos os registros estão presentes, corretos e apontando para onde devem?
Pilar 2: certificados SSL/TLS — Janela de validade, integridade da cadeia, cobertura de SAN, força das cifras, HSTS. Todo navegador vai confiar no cert hoje e daqui a 60 dias?
Pilar 3: autenticação de e-mail — SPF, DKIM, DMARC, alinhamento. Atacantes podem falsificar seu domínio? Os e-mails legítimos estão chegando na caixa ou no spam?
Pilar 4: reputação — Listagens DNSBL na Spamhaus, Barracuda, SORBS, SpamCop. Seu IP ou domínio de envio está em alguma blacklist queimando sua entregabilidade silenciosamente?
Pilar 5: uptime e performance — Status HTTP, percentis de tempo de resposta, alcance multi-região, expiração de domínio, idade do registro. O site está realmente no ar, rápido e não está prestes a expirar terça que vem?

Cada pilar tem um check de 30 segundos que você roda do terminal, uma inspeção mais profunda que roda com uma ferramenta grátis da Nova Uptime e um monitor contínuo que dá para configurar para ser alertado antes da próxima falha.

Pilar 1: configuração DNS#

DNS é a fundação. Se o DNS está errado, nenhum dos outros quatro pilares importa — a request nunca chega no seu servidor.

Os registros que importam#

Registros A mapeiam um hostname para um endereço IPv4. Todo domínio precisa de pelo menos um para o apex e um para www.
Registros AAAA mapeiam um hostname para um endereço IPv6. A maioria dos times pula. Não deveria. Tráfego IPv6 é rotineiramente 30–40% do tráfego mobile em mercados grandes hoje, e um registro AAAA ausente força fallback para IPv4 — adicionando latência e, em redes de operadoras mal configuradas, falhas ocasionais.
Registros MX definem roteamento de e-mail. Múltiplos MX usam valores de prioridade (menor = preferido). O bug de MX mais comum que vemos é um registro MX com prioridade 0 apontando para o próprio domínio apex quando o apex não tem listener SMTP — e-mail dá bounce silencioso.
Registros CNAME são aliases. O perigo são os CNAMEs pendurados: um CNAME apontando para um serviço que você não usa mais (um bucket S3 desativado, um app antigo do Heroku, uma instância encerrada do Zendesk). Um atacante que reivindica aquele recurso no provedor upstream toma seu subdomínio.
Registros TXT carregam verificações, SPF, DMARC, tokens de propriedade de domínio. Devem ser auditados periodicamente — verificações antigas de serviços que você parou de usar entopem a zona e aumentam a contagem de lookups SPF.
DNSSEC adiciona uma cadeia criptográfica de confiança às respostas DNS. Previne envenenamento de cache e sequestro de DNS. Não é estritamente obrigatório, mas para qualquer domínio que lida com dinheiro, credenciais ou dados de saúde, é recomendado.

Checks rápidos#

dig +short A seudominio.com
dig +short AAAA seudominio.com
dig +short MX seudominio.com
dig +short TXT seudominio.com
dig DNSKEY seudominio.com +short

Para validação específica de MX, rode o verificador de email health da Nova Uptime — ele confirma registros MX, prioridades e resolve cada hostname MX para um IP.

Pilar 2: certificados SSL/TLS#

Um cert funcionando não basta. Existem seis coisas independentes que podem estar erradas em um certificado SSL, e a maioria das ferramentas de monitoramento checa exatamente uma delas — a data de expiração.

O que verificar#

notBefore e notAfter definem a janela de validade. Com o ciclo de 90 dias do Let's Encrypt e o movimento da indústria para certs de 47 dias até 2028, a expiração acontece rápido e em silêncio. Você precisa saber 30 dias antes.
Integridade da cadeia do issuer. O cert que seu servidor apresenta precisa incluir o(s) certificado(s) intermediário(s) que ligam ele de volta a um root confiável. O cert valida no Chrome (que faz cache de intermediários) mas quebra no Safari mais antigo, no iOS ou em ferramentas headless que não buscam intermediários ausentes. Esse é o bug mais comum de "mas funciona no meu navegador" em SSL.
Cobertura de SAN (Subject Alternative Name). O cert precisa listar todo hostname que ele serve: apex, www e qualquer subdomínio usando o mesmo cert. Um cert válido para www.seudominio.com mas não para o apex puro é uma má configuração comum.
Cipher suites e versões de protocolo. TLS 1.0 e 1.1 estão depreciados. TLS 1.2 é o piso; TLS 1.3 é o alvo. Cifras fracas (RC4, 3DES, qualquer coisa com modo CBC em configurações antigas) devem estar desativadas.
Header HSTS. Strict-Transport-Security: max-age=31536000; includeSubDomains; preload diz aos navegadores para recusar HTTP para sempre. Sem HSTS, um atacante man-in-the-middle pode rebaixar a conexão no primeiro contato.
OCSP stapling. O servidor anexa uma prova assinada de validade do cert ao TLS handshake, eliminando uma round-trip ao OCSP responder da CA. É mais rápido e mais privado. A maioria dos servidores web modernos suporta; poucos têm ativado.

Check rápido#

echo | openssl s_client -servername seudominio.com -connect seudominio.com:443 2>/dev/null \
  | openssl x509 -noout -dates -issuer -subject

Para monitoramento contínuo com alertas de expiração de 30 dias e validação de cadeia, use o verificador de expiração SSL da Nova Uptime.

Pilar 3: autenticação de e-mail#

Esse é o pilar onde 2026 mudou as regras. A aplicação de bulk-sender do Gmail e do Yahoo significa que um registro DMARC ausente ou desalinhado agora te custa entrega na inbox, não só reputação.

SPF — quem pode enviar pelo seu domínio#

SPF é um registro DNS TXT listando os IPs e domínios autorizados a enviar e-mail como você. As duas armadilhas:

O limite de 10 lookups DNS. Cada include: no seu registro SPF conta. SendGrid sozinho são 3 lookups; some Google Workspace (3), Mailchimp (1) e um provedor transacional (3), e você passou do limite. Servidores receptores retornam permerror e seu e-mail falha.
O qualificador +all (ou nenhum). O qualificador no final (-all, ~all, ?all, +all) diz aos receptores o que fazer com e-mail de fontes não listadas. +all é "qualquer um pode enviar como eu" — nunca use.

Valide com o SPF checker da Nova Uptime.

DKIM — assinatura criptográfica#

DKIM assina cada mensagem enviada com uma chave privada. O receptor busca a chave pública em selector._domainkey.seudominio.com e verifica a assinatura. As duas armadilhas:

Confusão de seletor. Não há wildcard para DKIM. Você precisa saber o seletor que seu serviço de envio usa (s1, google, mandrill, selector1, etc.). A chave fica em {selector}._domainkey.seudominio.com.
Rotação de chave. Chaves DKIM devem ser giradas anualmente. A maioria dos times configura uma vez e esquece por cinco anos.

Verifique pelo DKIM checker da Nova Uptime, que varre 50 seletores comuns automaticamente.

DMARC — a camada de política#

DMARC diz aos servidores receptores o que fazer quando SPF e DKIM falham. Três políticas:

p=none — só monitora, não age. Use nas primeiras 2–4 semanas enquanto coleta relatórios.
p=quarantine — manda e-mail que falha para o spam.
p=reject — rejeita e-mail que falha. Esse é o objetivo.

A maioria dos domínios fica presa em p=none para sempre porque ninguém lê os relatórios agregados (rua). Não seja a maioria. Passe pelo nosso guia de configuração de política DMARC e valide com o DMARC checker da Nova Uptime.

Alinhamento — a parte que todo mundo esquece#

DMARC exige que o domínio do SPF ou DKIM alinhe com o domínio do header From. Uma mensagem pode passar SPF (para mailgun.org) e passar DKIM (assinado por mandrillapp.com), mas se o header From diz voce@seudominio.com, o DMARC falha porque nada alinha. Resolva configurando domínios de return-path customizados e domínios de assinatura DKIM para todo serviço de envio.

Para os quatro checks de uma vez, use o verificador de email health da Nova Uptime — ele pontua SPF, DKIM, DMARC e alinhamento juntos.

Pilar 4: reputação (blacklists)#

Mesmo com autenticação perfeita, reputação ruim te leva para o spam. DNSBLs (DNS-based blocklists) são os placares públicos.

O que as DNSBLs rastreiam#

Algumas blocklists rastreiam IPs (o endereço do seu servidor de e-mail). Outras rastreiam domínios (a URI no corpo da mensagem). Cada blocklist tem seu critério próprio de listagem, mas os gatilhos comuns são: enviar para spam traps, alta taxa de reclamação, picos súbitos de volume e estar no mesmo bloco de IP de spammers conhecidos.

As listas que importam#

Spamhaus SBL/XBL/PBL/DBL — o padrão ouro. Os principais provedores de inbox consultam a Spamhaus diretamente.
Barracuda Reputation Block List — muito usada por filtros empresariais.
SORBS — agrega vários feeds; pode ser agressiva.
SpamCop — movida por reclamações de usuário; períodos de listagem relativamente curtos mas alto volume.

Por que você pode estar listado#

As quatro razões mais comuns: (1) uma conta comprometida na sua plataforma enviou spam, (2) um cliente em setup de IP compartilhado enviou, (3) você mandou uma campanha para uma lista antiga e não verificada, (4) seus formulários permitem cadastro não autenticado e bots estão usando sua plataforma para enviar.

Como verificar#

Use o blacklist checker da Nova Uptime — consulta 60+ DNSBLs em paralelo e mostra exatamente quais listas marcaram seus IPs e domínios, com links de delisting para cada.

Se estiver listado, conserte o problema subjacente primeiro (feche a conta comprometida, limpe a lista, conserte o formulário), depois envie pedidos de delisting. Ser listado de novo uma semana depois com a mesma causa raiz vai te dar um ban mais longo.

Pilar 5: uptime e performance#

Esse é o pilar que todo mundo observa — e mesmo aqui, a maioria dos times olha só uma métrica.

O que medir#

Status code HTTP. 200 é saudável. 4xx é problema seu. 5xx é problema do seu servidor. Redirects 3xx devem resolver para 200 em até 3 saltos.
Percentis de tempo de resposta. A mediana (p50) é a história; p95 e p99 são a verdade. Um site com p50 de 200ms e p99 de 9.000ms tem um problema sério afetando 1 em 100 requests — geralmente uma query lenta no banco ou cache frio.
Alcance multi-região. Monitoramento em região única pega suas indisponibilidades. Não pega as indisponibilidades dos seus clientes — o BGP route flap na Ásia, o incidente regional do Cloudflare, a disputa de peering entre ISPs que afeta 10% dos seus usuários.
Screenshots de falha. Quando o site cai, capture a tela que o usuário vê. "Site inalcançável" parece idêntico para um monitor seja o problema um 500, uma página de Cloudflare challenge ou um iframe de provedor de pagamento falhando.
Expiração de domínio. Domínios expiram. Auto-renew falha (cartão de crédito vencido, conta do registrar suspensa, e-mail de cobrança indo para a caixa de um ex-funcionário). Acompanhe a data de expiração do registrar — e a idade do registro, que sinaliza autoridade para SEO.

Para monitoramento contínuo com intervalos de 59 segundos, checks multi-região, screenshots e alertas via WhatsApp/e-mail/webhook, cadastre-se na página de preços da Nova Uptime. Para checks pontuais de idade do registro e expiração, use o verificador de expiração de domínio e o verificador de idade de domínio.

O checklist de health check em 5 minutos#

Rode na ordem. Cada passo tem um pass/fail claro.

DNS — dig +short A seudominio.com && dig +short AAAA seudominio.com && dig +short MX seudominio.com. Os três devem retornar valores. Se MX estiver vazio, o e-mail está quebrado.
SSL — echo | openssl s_client -servername seudominio.com -connect seudominio.com:443 2>/dev/null | openssl x509 -noout -dates. notAfter deve estar a mais de 30 dias.
SPF — vá em /tools/spf-checker, entre seu domínio. Score deve ser 90+.
DKIM — vá em /tools/dkim-checker, entre seu domínio. Status deve ser "Configurado."
DMARC — vá em /tools/dmarc-checker. Política deve ser quarantine ou reject, não none.
Email health (combinado) — /tools/email-health dá uma nota A–F em todos os itens acima.
Blacklists — /tools/blacklist-checker. Zero listagens é o alvo.
SSL deep check — /tools/ssl-expiry para validação de cadeia e alertas de 30 dias.
Expiração de domínio — /tools/domain-expiry. Deve estar a mais de 60 dias; mais é melhor para autoridade SEO.
Uptime — curl -o /dev/null -s -w "%{http_code} %{time_total}s\n" https://seudominio.com. Status 200, tempo abaixo de 1,5s.

Se alguma falhar, você acabou de identificar sua principal prioridade.

Histórias do mundo real#

Alguns exemplos dos últimos seis meses ajudando times a auditar seus domínios:

O DKIM desalinhado que se escondeu por seis meses. Uma empresa SaaS B2B mandava e-mails transacionais por um subdomínio customizado (mail.siteempresa.com) mas a tag d= do DKIM era o domínio do provedor, não o deles. O período de tolerância do Gmail fazia o e-mail cair na inbox em volumes baixos. Quando rodaram a primeira campanha grande — 50.000 e-mails — as taxas de abertura foram 4%. Os relatórios de bounce mostravam que o Gmail vinha rebaixando as mensagens silenciosamente havia meses. A correção foi uma mudança de DNS de 10 minutos. A lição foi que "a entregabilidade parece OK" não é uma medição.

O cert intermediário que só o Safari notou. Um e-commerce auto-renovou o cert SSL pelo provedor de hospedagem. O novo cert foi para o ar corretamente, mas o certificado intermediário estava ausente do bundle. Chrome e Firefox tinham o intermediário em cache de visitas anteriores e continuaram a validar. O Safari (que não cacheia intermediários de forma agressiva) mostrou um aviso de segurança em página inteira. Cerca de 18% do tráfego de checkout era iOS Safari. Perderam dois dias de receita até um ticket de suporte conectar os pontos.

O CNAME pendurado que virou takeover. Uma página de marketing antiga em promo.dominioempresa.com era um CNAME para um app Heroku que tinha sido excluído três anos antes. Um atacante registrou o mesmo nome de app no Heroku, e por 12 horas aquele subdomínio serviu HTML arbitrário — incluindo um formulário de phishing imitando a página de login da empresa. A correção foi 30 segundos de limpeza de DNS. A descoberta foi zero — o time só ficou sabendo quando um cliente reportou o phishing. Uma auditoria mensal de subdomínios teria pegado.

Conclusão#

Domain health são cinco pilares, não um. Rode o checklist de 5 minutos acima. Conserte as falhas. Depois ponha um monitor contínuo nas coisas que desviam com o tempo — certs expiram, blacklists mudam, registros vencem e registros SPF crescem até quebrar o limite de lookups. Os cinco pilares, grátis, num único dashboard na Nova Uptime.

Domain Health Check: Uma Auditoria Grátis Completa (DNS + SSL + E-mail + Uptime)