cPanel/WHM – Ajustes Avançados em Template de Zona DNS, $ip, MX e Boas Práticas

cPanel/WHM – Ajustes Avançados em Template de Zona DNS, `$ip`, MX e Boas Práticas

Durante ajuste fino em servidores cPanel/WHM, é comum precisar revisar o template padrão de zona DNS. O objetivo é garantir que o $ip seja resolvido corretamente e, principalmente, eliminar inconsistências entre MX, A e CNAME que viram incidente de entregabilidade de e-mail.

Neste guia, consolido os erros que mais pego no dia a dia, as correções que aplico e o padrão que uso quando quero manter ambiente profissional e resiliente.

---

1. Onde fica o template de zona DNS no cPanel?

Se você está no terminal como root, os templates ficam neste caminho:

cd /var/cpanel/zonetemplates/
ls -lah

Arquivos principais:

standard: template padrão para grande parte das zonas IPv4.
standardipv6: template para zonas com suporte IPv6.
simple: template simplificado em alguns cenários de addon/contas.

Para editar o template principal:

nano /var/cpanel/zonetemplates/standard

Dica de sênior: editar template não altera zona já criada. Para domínios existentes, aplique reset de zona no WHM ou use rotinas de rebuild conforme política do ambiente (por exemplo, /scripts/rebuilddnsconfig).

---

2. A anatomia da variável `$ip`

No template, $ip é o coração da automação:

@     14400  IN  A   $ip
www   14400  IN  A   $ip
mail  14400  IN  A   $ip

O cPanel substitui $ip com base no que está definido em WHM → Basic WebHost Manager Setup.

Se a conta tiver IP dedicado, o cPanel troca $ip pelo IP específico da conta, mantendo isolamento de reputação e roteamento correto.

---

3. Alterando o shared IP: impacto real em produção

Trocar o IP principal no WHM é mudança sensível. Em operação, o comportamento é:

Item	Impacto
Novas contas	Passam a usar o novo IP imediatamente
Templates DNS	`$ip` passa a resolver para novo endereço
VirtualHosts	Novas definições web seguem IP atualizado
Contas antigas	Não mudam automaticamente; exigem migração manual

O erro clássico é assumir que tudo migra junto. Não migra.

Se o objetivo for convergência completa, planeje janela técnica para:

revisar contas legadas;
regenerar zonas e vhosts conforme stack;
validar DNS público e serviço SMTP.

---

4. O triângulo das bermudas: MX, A e CNAME

Aqui está a origem de boa parte dos chamados N2/N3.

❌ Erro 1: MX apontando para IP

MX sempre aponta para nome (FQDN), nunca IP.

Errado:

@ IN MX 10 192.0.2.10

Certo:

@ IN MX 10 mail.domain.tld.

❌ Erro 2: MX apontando para CNAME

Isso viola a RFC 2181. Na prática, MTAs como Gmail/Outlook podem penalizar, atrasar ou falhar conexão.

Regra operacional: destino do MX deve ter A/AAAA direto.

❌ Erro 3: `mail` como CNAME

mail IN CNAME domain.tld até pode resolver, mas é má prática para produção:

adiciona salto de resolução;
aumenta fragilidade se apex mudar;
piora troubleshooting quando há incidente DNS.

---

5. Estrutura profissional recomendada

Modelo limpo para ambiente estável:

@      IN  A     192.0.2.10
www    IN  A     192.0.2.10
mail   IN  A     192.0.2.10

@      IN  MX 10 mail.domain.tld.

Pontos-chave:

sem CNAME em serviço de e-mail;
resolução direta;
conformidade com comportamento esperado dos MTAs.

---

6. Template “blindado” para cPanel (SOP)

Esse é o padrão que recomendo como baseline no /var/cpanel/zonetemplates/standard:

$TTL 14400
@  86400  IN  SOA  ns1.domain.tld. root.domain.tld. (
        $serial
        3600
        1800
        1209600
        86400 )

@      14400  IN  NS    ns1.domain.tld.
@      14400  IN  NS    ns2.domain.tld.

@      14400  IN  A     $ip
www    14400  IN  A     $ip
mail   14400  IN  A     $ip
ftp    14400  IN  A     $ip

; --- Registros de Autodiscover para Facilitar a Vida do Cliente ---
autoconfig   14400  IN  A     $ip
autodiscover 14400  IN  A     $ip

; --- Entrega de E-mail ---
@      14400  IN  MX 10 mail.domain.tld.

; --- Segurança e Anti-Spoofing (Essencial) ---
@      14400  IN  TXT "v=spf1 a mx ip4:$ip ~all"
_dmarc 14400  IN  TXT "v=DMARC1; p=none; aspf=r;"

Validação recomendada após alteração

dig @127.0.0.1 MX domain.tld +short
dig @127.0.0.1 A mail.domain.tld +short
dig @8.8.8.8 MX domain.tld +short
dig @1.1.1.1 MX domain.tld +short

Objetivo: confirmar coerência entre autoritativo local e resolvedores públicos.

---

7. Conclusões e regra de ouro

Como sysadmin, nosso papel é reduzir ruído operacional e evitar escalonamento desnecessário de suporte.

$ip é dinâmico, mas só afeta o que nasce depois da mudança.
MX é sensível: aponte sempre para host com A/AAAA.
CNAME serve para alias web, não para fluxo SMTP/IMAP/POP.

Regra de ouro: se o registro participa do fluxo de e-mail, use resolução direta (A/AAAA). CNAME em rota de e-mail é convite para atraso de entrega, falha intermitente e desgaste de reputação.

Este post está licenciado sob CC BY-NC.