DNS e Domínios#
Visão Geral#
O projeto UNICEF Portugal utiliza o domínio principal unicef.pt, gerido através de uma zona DNS no Azure. O tráfego web é encaminhado através do Azure Front Door (CDN + WAF) para o App Service.
Arquitetura de Routing#
graph LR
USER[Utilizador] --> DNSZ["unicef.pt - Azure DNS Zone"]
DNSZ --> FD["Azure Front Door - uncprd-cdn"]
FD --> WAF["WAF Policy - uncprdwaf"]
WAF --> APP["App Service - uncwebprd.azurewebsites.net"]
subgraph "Dominios Personalizados"
D1["www unicef.pt"]
D2["unicef.pt"]
D3["presentesunicef.pt"]
D4["www presentesunicef.pt"]
D5["guerras.unicef.pt"]
D6["crises.unicef.pt"]
end
D1 --> FD
D2 --> FD
D3 --> APP
D4 --> APP
D5 --> APP
D6 --> APPDomínios Personalizados no App Service#
| Domínio | SSL | Tipo SSL | Notas |
|---|---|---|---|
| uncwebprd.azurewebsites.net | Sim | Automático (Azure) | Domínio por defeito |
| www.unicef.pt | Sim | SNI | Domínio principal - encaminhado via Front Door |
| unicef.pt | Sim | SNI | Domínio apex |
| presentesunicef.pt | Não | - | Loja de presentes solidários |
| www.presentesunicef.pt | Não | - | Loja de presentes solidários |
| guerras.unicef.pt | Não | - | Campanha sobre guerras/conflitos |
| crises.unicef.pt | Não | - | Campanha sobre crises humanitárias |
Domínios sem SSL
Os domínios presentesunicef.pt, www.presentesunicef.pt, guerras.unicef.pt e crises.unicef.pt não têm certificado SSL configurado. Isto significa que:
- Os utilizadores verão avisos de "site não seguro" no browser
- Os motores de busca penalizam sites sem HTTPS
- Se houver formulários (especialmente donativos), os dados são transmitidos sem encriptação
Ação recomendada: Configurar certificados SSL (managed certificates gratuitos do Azure) para todos estes domínios.
Azure Front Door#
| Propriedade | Valor |
|---|---|
| Nome | uncprd-cdn |
| Tipo | Azure Front Door Premium |
| Endpoint | unicef-dnhve3b3h0fpdgbj.z01.azurefd.net |
| Domínio personalizado | www.unicef.pt |
| Origem | uncwebprd.azurewebsites.net |
| WAF Policy | uncprdwaf |
sequenceDiagram
participant U as Utilizador
participant FD as Front Door
participant WAF as WAF Policy
participant APP as App Service
U->>FD: GET www.unicef.pt
FD->>WAF: Verificar regras de seguranca
WAF-->>FD: OK (ou bloquear)
FD->>APP: Encaminhar para uncwebprd.azurewebsites.net
APP-->>FD: Resposta HTML
FD-->>U: Resposta (com cache CDN)Zona DNS: unicef.pt#
Registos CNAME#
| Subdomínio | Destino | Propósito |
|---|---|---|
| www | Front Door endpoint | Domínio principal do website |
| autodiscover | autodiscover.outlook.com (provável) | Configuração automática de email Outlook |
| lyncdiscover | Skype/Teams endpoint | Descoberta de serviços Lync/Skype for Business |
| sip | Skype/Teams endpoint | Protocolo SIP para comunicações |
| eleicoes | A confirmar | Campanha relacionada com eleições |
| mkt | A confirmar | Provavelmente plataforma de marketing/email |
| default._domainkey | DKIM signing | Autenticação de email (DKIM) |
| s1._domainkey | DKIM signing | Selector 1 de DKIM |
| s2._domainkey | DKIM signing | Selector 2 de DKIM |
| _1ddf8d9411bfe3cd4346d748d711765b | Validação de domínio | Provavelmente validação de certificado SSL ou serviço externo |
Subdominios de Campanhas#
Subdomínios Temáticos
A zona DNS contém dezenas de subdomínios que parecem corresponder a campanhas temáticas da UNICEF. Nota: Esta é uma suposição baseada na análise. Recomenda-se confirmar com a equipa responsável quais estão ativos.
| Subdomínio | Tema Provável |
|---|---|
| 70anos | Celebração dos 70 anos da UNICEF |
| agua | Campanha sobre acesso a água potável |
| ajudar | Página genérica de ajuda/donativos |
| amigos | Programa "Amigos da UNICEF" |
| crises | Resposta a crises humanitárias |
| donativos | Página de donativos |
| eleicoes | Campanha sobre direitos das crianças nas eleições |
| empresas | Parcerias com empresas |
| escolas | Programa UNICEF nas escolas |
| fome | Campanha sobre fome/desnutrição |
| guerras | Campanha sobre crianças em zonas de conflito |
| irs | Consignação de IRS a favor da UNICEF |
| library | Biblioteca/recursos |
| maiorlicao | Projeto "A Maior Lição do Mundo" |
Configuração de Email#
graph TD
subgraph "Autenticacao de Email"
SPF["SPF Record - v=spf1 ... -all"]
DKIM1["default._domainkey - DKIM Selector"]
DKIM2["s1._domainkey - DKIM Selector 1"]
DKIM3["s2._domainkey - DKIM Selector 2"]
DMARC["_dmarc - DMARC Policy"]
end
subgraph "Servicos de Email"
AUTO["autodiscover - Outlook Config"]
LYNCD["lyncdiscover - Skype/Teams"]
SIPR["sip - SIP Protocol"]
end| Tipo de Registo | Nome | Propósito |
|---|---|---|
| SPF (TXT) | unicef.pt | Define quais servidores podem enviar email em nome de unicef.pt |
| DKIM (CNAME) | default._domainkey | Assinatura digital de emails - selector por defeito |
| DKIM (CNAME) | s1._domainkey | Assinatura digital de emails - selector 1 |
| DKIM (CNAME) | s2._domainkey | Assinatura digital de emails - selector 2 |
| DMARC (TXT) | _dmarc | Política de autenticação de email (SPF + DKIM) |
| Autodiscover (CNAME) | autodiscover | Configuração automática de clientes de email |
| Lync Discover (CNAME) | lyncdiscover | Descoberta de serviços de comunicação |
| SIP (CNAME) | sip | Serviços de voz/vídeo |
Boas Práticas de Email
Os três selectores DKIM, o registo SPF e o DMARC indicam uma configuração de email relativamente madura. Recomenda-se verificar periodicamente que a política DMARC está em modo reject ou quarantine para máxima proteção contra phishing.
Certificados SSL#
Os certificados SSL são geridos como recursos Microsoft.Web/certificates no Azure. Os domínios www.unicef.pt e unicef.pt têm SSL ativo via SNI.
Estado dos Certificados#
| Domínio | SSL Ativo | Tipo | Notas |
|---|---|---|---|
| www.unicef.pt | Sim | SNI Enabled | Via Front Door |
| unicef.pt | Sim | SNI Enabled | Domínio apex |
| presentesunicef.pt | Não | - | Necessita configuração |
| www.presentesunicef.pt | Não | - | Necessita configuração |
| guerras.unicef.pt | Não | - | Necessita configuração |
| crises.unicef.pt | Não | - | Necessita configuração |
Recomendações#
- Ativar SSL em todos os domínios - Utilizar Azure Managed Certificates (gratuitos) para presentesunicef.pt, www.presentesunicef.pt, guerras.unicef.pt e crises.unicef.pt
- Auditar subdomínios DNS - Verificar quais subdomínios de campanhas ainda estão ativos e remover os obsoletos
- Considerar redirecionamento - Configurar redirect de HTTP para HTTPS em todos os domínios
- Verificar política DMARC - Confirmar que está configurada para
rejectouquarantine - Documentar subdomínios - Manter um registo atualizado de quais subdomínios correspondem a campanhas ativas vs arquivadas
Problemas de Segurança Identificados#
Risco de Segurança: Subdomínios Apontando para Servidores Externos
Foram identificados subdomínios com registos DNS que apontam para servidores que não pertencem à UNICEF nem à infraestrutura Azure. Isto representa um risco de segurança significativo.
crises.unicef.pt — RISCO CRÍTICO#
| Propriedade | Valor |
|---|---|
| Tipo de Registo | A Record |
| IP | 144.91.77.254 |
| Provedor do IP | Contabo/Hetzner (terceiro) |
| Certificado SSL | api.voyagergpt.io (domínio não relacionado) |
| Estado | Comprometido — o IP já não pertence à UNICEF |
Análise: Este subdomínio aponta para um servidor de terceiros que apresenta um certificado SSL de um domínio completamente diferente (api.voyagergpt.io). Isto significa que o IP foi provavelmente reutilizado após a UNICEF deixar de o utilizar. Qualquer utilizador que aceda a crises.unicef.pt será direcionado para um servidor não controlado.
Ação recomendada: Remover imediatamente o registo A ou atualizá-lo para apontar para o App Service (uncwebprd.azurewebsites.net).
guerras.unicef.pt — Servidor Externo#
| Propriedade | Valor |
|---|---|
| Tipo de Registo | A Record |
| IP | 138.68.187.218 |
| Provedor do IP | DigitalOcean |
| Comportamento | Redireciona para donativos.unicef.pt |
| Estado | Funcional, mas hospedado externamente |
Análise: Este subdomínio aponta para um servidor DigitalOcean que atualmente redireciona para donativos.unicef.pt. Embora funcional, o servidor não está sob controlo da infraestrutura Azure da UNICEF.
Ação recomendada: Migrar o redirecionamento para o App Service ou implementá-lo via Azure Front Door / IIS URL Rewrite.
presentesunicef.pt — Domínio Inativo#
| Propriedade | Valor |
|---|---|
| Tipo de Registo | A Record (externo ao Azure DNS) |
| IP | 0.0.0.0 |
| Estado | Inativo — não resolve para nenhum servidor |
Análise: Este domínio externo (não é subdomínio de unicef.pt) resolve para 0.0.0.0, o que significa que não está funcional. O domínio está configurado como hostname no App Service, mas sem binding SSL e sem DNS válido.
Ação recomendada: Se o domínio ainda é propriedade da UNICEF, configurar DNS correto apontando para o App Service. Caso contrário, remover o hostname do App Service.
SSL Não Configurado em Múltiplos Hostnames#
Os seguintes hostnames estão configurados no App Service mas sem certificado SSL:
| Hostname | SSL State |
|---|---|
| presentesunicef.pt | Sem SSL |
| www.presentesunicef.pt | Sem SSL |
| guerras.unicef.pt | Sem SSL |
| crises.unicef.pt | Sem SSL |
Ação recomendada: Para todos os hostnames que se pretenda manter ativos, configurar certificados SSL geridos pelo Azure (App Service Managed Certificates) ou via Let's Encrypt.