Se uma resposta NXDOMAIN é o equivalente a um HTTP 404 (Not Found), então SERVFAIL é o HTTP 500 (Internal Server Error) do mundo DNS. É a resposta mais frustrante que um engenheiro pode ver porque é totalmente opaca: ela simplesmente avisa que o servidor recursivo desistiu de tentar encontrar uma resposta.

Por Que os Resolvers Desistem

Um SERVFAIL quase nunca é gerado diretamente pelo seu servidor de nomes autoritativo. É uma bandeira de rendição levantada por um resolver recursivo (como um ISP ou Google DNS). Quando o resolver tenta seguir a cadeia de delegação da Raiz até seus servidores de nomes, ele espera um repasse limpo.

Se o repasse envolver um timeout, uma reinicialização de conexão ou falha de validação criptográfica, o resolver recursivo encerra o processo e retorna um SERVFAIL para o navegador do usuário final, quebrando a conexão instantaneamente.

Os Dois Culpados Principais

Embora partições de rede e ataques DDoS massivos em seu provedor DNS possam disparar SERVFAILs devido a timeouts, a grande maioria desses erros na infraestrutura moderna são feridas auto-infligidas:

1. O Tiro no Pé do DNSSEC

O DNSSEC adiciona assinaturas criptográficas aos registros DNS para evitar spoofing. No entanto, se sua equipe de engenharia rotacionar suas chaves de assinatura autoritativas sem atualizar o registro DS (Delegation Signer) no seu registrador de domínio, toda a internet assumirá que seu domínio foi sequestrado.

Resolvers recursivos retornarão intencionalmente um SERVFAIL para bloquear os usuários do que acredita ser uma zona comprometida.

2. Delegações Mancas (Lame Delegations)

Se o seu registrador aponta para quatro servidores de nomes (ex: ns1 a ns4 no Route53), mas você acidentalmente deletou a zona hospedada em sua conta AWS, esses servidores se recusarão a responder pelo seu domínio. O resolver detecta essa discrepância e retorna um SERVFAIL.

Depuração Cirúrgica

Para determinar se um SERVFAIL é causado por DNSSEC, você deve usar as ferramentas de rastreamento de validação integradas no `dig`:

dig +cd +short seudominio.com

A flag `+cd` (Checking Disabled) avisa o resolver recursivo para ignorar a validação DNSSEC. Se a consulta for bem-sucedida com essa flag, mas falhar sem ela, você provou que sua criptografia está quebrada, e deve pausar imediatamente o DNSSEC em seu registrador para restaurar o tráfego.

Conclusão

O SERVFAIL representa uma quebra dura na cadeia de confiança da internet.

Com o Heimdall Observer, você não precisa esperar que os usuários relatem quedas de conexão. Ao afirmar sinteticamente a validade de suas assinaturas DNSSEC e cadeias de delegação globalmente, o Heimdall o alerta sobre configurações criptográficas incorretas muito antes que um resolver precise lançar um SERVFAIL.