Um guia técnico sobre o significado do erro SERVFAIL, causas comuns em servidores autoritativos e como diagnosticar.
Se uma resposta NXDOMAIN é o equivalente a um HTTP 404 (Not Found), então SERVFAIL é o HTTP 500 (Internal Server Error) do mundo DNS. É a resposta mais frustrante que um engenheiro pode ver porque é totalmente opaca: ela simplesmente avisa que o servidor recursivo desistiu de tentar encontrar uma resposta.
Um SERVFAIL quase nunca é gerado diretamente pelo seu servidor de nomes autoritativo. É uma bandeira de rendição levantada por um resolver recursivo (como um ISP ou Google DNS). Quando o resolver tenta seguir a cadeia de delegação da Raiz até seus servidores de nomes, ele espera um repasse limpo.
Se o repasse envolver um timeout, uma reinicialização de conexão ou falha de validação criptográfica, o resolver recursivo encerra o processo e retorna um SERVFAIL para o navegador do usuário final, quebrando a conexão instantaneamente.
Embora partições de rede e ataques DDoS massivos em seu provedor DNS possam disparar SERVFAILs devido a timeouts, a grande maioria desses erros na infraestrutura moderna são feridas auto-infligidas:
O DNSSEC adiciona assinaturas criptográficas aos registros DNS para evitar spoofing. No entanto, se sua equipe de engenharia rotacionar suas chaves de assinatura autoritativas sem atualizar o registro DS (Delegation Signer) no seu registrador de domínio, toda a internet assumirá que seu domínio foi sequestrado.
Resolvers recursivos retornarão intencionalmente um SERVFAIL para bloquear os usuários do que acredita ser uma zona comprometida.
Se o seu registrador aponta para quatro servidores de nomes (ex: ns1 a ns4 no Route53), mas você acidentalmente deletou a zona hospedada em sua conta AWS, esses servidores se recusarão a responder pelo seu domínio. O resolver detecta essa discrepância e retorna um SERVFAIL.
Para determinar se um SERVFAIL é causado por DNSSEC, você deve usar as ferramentas de rastreamento de validação integradas no `dig`:
dig +cd +short seudominio.com
A flag `+cd` (Checking Disabled) avisa o resolver recursivo para ignorar a validação DNSSEC. Se a consulta for bem-sucedida com essa flag, mas falhar sem ela, você provou que sua criptografia está quebrada, e deve pausar imediatamente o DNSSEC em seu registrador para restaurar o tráfego.
O SERVFAIL representa uma quebra dura na cadeia de confiança da internet.
Com o Heimdall Observer, você não precisa esperar que os usuários relatem quedas de conexão. Ao afirmar sinteticamente a validade de suas assinaturas DNSSEC e cadeias de delegação globalmente, o Heimdall o alerta sobre configurações criptográficas incorretas muito antes que um resolver precise lançar um SERVFAIL.
Junte-se a milhares de equipes que confiam no Heimdall para manter seus sites e APIs online 24/7. Comece com nosso plano gratuito hoje.
Comece a monitorar gratuitamente
Engenheiro de infraestrutura focado em DNS, redes e nas camadas invisíveis que determinan se as aplicações são alcançáveis.
