SOA: o documento de identidade da zona DNS
O registro SOA (Start of Authority) é o primeiro e mais importante registro de cada zona DNS. Contém os metadados fundamentais que governam o funcionamento da zona: quem é o nameserver primário, quem é o administrador, o número serial que rastreia as alterações e os parâmetros que regulam a sincronização entre nameserver primário e secundários. Cada zona DNS deve ter exatamente um registro SOA — é obrigatório pelas especificações RFC.
Embora frequentemente ignorado pelos administradores que se concentram nos registros A, MX e CNAME, o registro SOA tem impacto direto na velocidade de propagação das alterações DNS e na resiliência do sistema. Parâmetros SOA mal configurados podem causar atrasos na propagação, zonas DNS desatualizadas nos nameservers secundários e, em casos extremos, a perda de autoridade dos nameservers secundários.
Anatomia do registro SOA
O número serial é um contador que é incrementado a cada modificação na zona. Os nameservers secundários comparam o serial do primário com o seu: se o do primário for maior, baixam a nova versão da zona (transferência de zona). A convenção mais difundida é o formato YYYYMMDDNN (data + número sequencial), mas qualquer número inteiro crescente funciona. Se você esquecer de incrementar o serial após uma modificação, os secundários não se atualizam.
Refresh indica a cada quantos segundos o nameserver secundário verifica se o serial do primário mudou. Retry é o intervalo entre tentativas se o refresh falhar. Expire é o tempo máximo após o qual, se o primário estiver inacessível, o secundário para de responder pela zona (considerando-a obsoleta). O campo Minimum TTL (ou Negative Cache TTL) indica por quanto tempo os resolvers armazenam em cache as respostas negativas (NXDOMAIN — domínio inexistente).
Valores SOA recomendados
Os valores ideais dependem do contexto. Para zonas com alterações frequentes: Refresh 300-900s, Retry 60-300s. Para zonas estáveis: Refresh 3600-7200s, Retry 900s. O Expire deve ser sempre muito maior que o Refresh (7-14 dias) para garantir que os secundários continuem servindo a zona durante interrupções prolongadas do primário. Um Negative Cache TTL de 3600s é um bom valor padrão — muito alto e os subdomínios removidos permanecem como "fantasmas" por tempo demais.
Use SOA Lookup para verificar os parâmetros da sua zona e compará-los com as melhores práticas. Combine a verificação com NS Lookup para confirmar que os nameservers listados no SOA correspondem aos efetivamente delegados, e com DNS Health Check para um controle completo da coerência da zona. O SOA raramente é a causa direta de problemas visíveis aos usuários, mas parâmetros incorretos podem amplificar o impacto de outros problemas.
Um detalhe que frequentemente causa confusão é o formato do e-mail do administrador no SOA: admin.exemplo.com não é uma URL, mas um endereço de e-mail onde o primeiro ponto substitui o @. Assim, admin.exemplo.com corresponde a admin@exemplo.com. Se o endereço contém um ponto antes do @, ele é escapado com barra invertida: mario\.rossi.exemplo.com corresponde a mario.rossi@exemplo.com. Esse formato legado é uma das peculiaridades do DNS herdadas dos anos 80.