DNS e Dominios¶
Visao Geral¶
O projecto UNICEF Portugal utiliza o dominio principal unicef.pt, gerido atraves de uma zona DNS no Azure. O trafego web e encaminhado atraves do Azure Front Door (CDN + WAF) para o App Service.
Arquitectura de Routing¶
Dominios Personalizados no App Service¶
| Dominio | SSL | Tipo SSL | Notas |
|---|---|---|---|
| uncwebprd.azurewebsites.net | Sim | Automatico (Azure) | Dominio por defeito |
| www.unicef.pt | Sim | SNI | Dominio principal - encaminhado via Front Door |
| unicef.pt | Sim | SNI | Dominio apex |
| presentesunicef.pt | Nao | - | Loja de presentes solidarios |
| www.presentesunicef.pt | Nao | - | Loja de presentes solidarios |
| guerras.unicef.pt | Nao | - | Campanha sobre guerras/conflitos |
| crises.unicef.pt | Nao | - | Campanha sobre crises humanitarias |
Dominios sem SSL
Os dominios presentesunicef.pt, www.presentesunicef.pt, guerras.unicef.pt e crises.unicef.pt nao tem certificado SSL configurado. Isto significa que:
- Os utilizadores verao avisos de "site nao seguro" no browser
- Os motores de busca penalizam sites sem HTTPS
- Se houver formularios (especialmente donativos), os dados sao transmitidos sem encriptacao
Accao recomendada: Configurar certificados SSL (managed certificates gratuitos do Azure) para todos estes dominios.
Azure Front Door¶
| Propriedade | Valor |
|---|---|
| Nome | uncprd-cdn |
| Tipo | Azure Front Door Premium |
| Endpoint | unicef-dnhve3b3h0fpdgbj.z01.azurefd.net |
| Dominio personalizado | www.unicef.pt |
| Origem | uncwebprd.azurewebsites.net |
| WAF Policy | uncprdwaf |
Zona DNS: unicef.pt¶
Registos CNAME¶
| Subdominio | Destino | Proposito |
|---|---|---|
| www | Front Door endpoint | Dominio principal do website |
| autodiscover | autodiscover.outlook.com (provavel) | Configuracao automatica de email Outlook |
| lyncdiscover | Skype/Teams endpoint | Descoberta de servicos Lync/Skype for Business |
| sip | Skype/Teams endpoint | Protocolo SIP para comunicacoes |
| eleicoes | A confirmar | Campanha relacionada com eleicoes |
| mkt | A confirmar | Provavelmente plataforma de marketing/email |
| default._domainkey | DKIM signing | Autenticacao de email (DKIM) |
| s1._domainkey | DKIM signing | Selector 1 de DKIM |
| s2._domainkey | DKIM signing | Selector 2 de DKIM |
| _1ddf8d9411bfe3cd4346d748d711765b | Validacao de dominio | Provavelmente validacao de certificado SSL ou servico externo |
Subdominios de Campanhas¶
Subdominios Tematicos
A zona DNS contem dezenas de subdominios que parecem corresponder a campanhas tematicas da UNICEF. Nota: Esta e uma suposicao baseada na analise. Recomenda-se confirmar com a equipa responsavel quais estao activos.
| Subdominio | Tema Provavel |
|---|---|
| 70anos | Celebracao dos 70 anos da UNICEF |
| agua | Campanha sobre acesso a agua potavel |
| ajudar | Pagina generica de ajuda/donativos |
| amigos | Programa "Amigos da UNICEF" |
| crises | Resposta a crises humanitarias |
| donativos | Pagina de donativos |
| eleicoes | Campanha sobre direitos das criancas nas eleicoes |
| empresas | Parcerias com empresas |
| escolas | Programa UNICEF nas escolas |
| fome | Campanha sobre fome/desnutricao |
| guerras | Campanha sobre criancas em zonas de conflito |
| irs | Consignacao de IRS a favor da UNICEF |
| library | Biblioteca/recursos |
| maiorlicao | Projecto "A Maior Licao do Mundo" |
Configuracao de Email¶
| Tipo de Registo | Nome | Proposito |
|---|---|---|
| SPF (TXT) | unicef.pt | Define quais servidores podem enviar email em nome de unicef.pt |
| DKIM (CNAME) | default._domainkey | Assinatura digital de emails - selector por defeito |
| DKIM (CNAME) | s1._domainkey | Assinatura digital de emails - selector 1 |
| DKIM (CNAME) | s2._domainkey | Assinatura digital de emails - selector 2 |
| DMARC (TXT) | _dmarc | Politica de autenticacao de email (SPF + DKIM) |
| Autodiscover (CNAME) | autodiscover | Configuracao automatica de clientes de email |
| Lync Discover (CNAME) | lyncdiscover | Descoberta de servicos de comunicacao |
| SIP (CNAME) | sip | Servicos de voz/video |
Boas Praticas de Email
Os tres selectores DKIM, o registo SPF e o DMARC indicam uma configuracao de email relativamente madura. Recomenda-se verificar periodicamente que a politica DMARC esta em modo reject ou quarantine para maxima proteccao contra phishing.
Certificados SSL¶
Os certificados SSL sao geridos como recursos Microsoft.Web/certificates no Azure. Os dominios www.unicef.pt e unicef.pt tem SSL activo via SNI.
Estado dos Certificados¶
| Dominio | SSL Activo | Tipo | Notas |
|---|---|---|---|
| www.unicef.pt | Sim | SNI Enabled | Via Front Door |
| unicef.pt | Sim | SNI Enabled | Dominio apex |
| presentesunicef.pt | Nao | - | Necessita configuracao |
| www.presentesunicef.pt | Nao | - | Necessita configuracao |
| guerras.unicef.pt | Nao | - | Necessita configuracao |
| crises.unicef.pt | Nao | - | Necessita configuracao |
Recomendacoes¶
- Activar SSL em todos os dominios - Utilizar Azure Managed Certificates (gratuitos) para presentesunicef.pt, www.presentesunicef.pt, guerras.unicef.pt e crises.unicef.pt
- Auditar subdominios DNS - Verificar quais subdominios de campanhas ainda estao activos e remover os obsoletos
- Considerar redireccionamento - Configurar redirect de HTTP para HTTPS em todos os dominios
- Verificar politica DMARC - Confirmar que esta configurada para
rejectouquarantine - Documentar subdominios - Manter um registo actualizado de quais subdominios correspondem a campanhas activas vs arquivadas
Problemas de Seguranca Identificados¶
Risco de Seguranca: Subdomínios Apontando para Servidores Externos
Foram identificados subdomínios com registos DNS que apontam para servidores que não pertencem à UNICEF nem à infraestrutura Azure. Isto representa um risco de segurança significativo.
crises.unicef.pt — RISCO CRÍTICO¶
| Propriedade | Valor |
|---|---|
| Tipo de Registo | A Record |
| IP | 144.91.77.254 |
| Provedor do IP | Contabo/Hetzner (terceiro) |
| Certificado SSL | api.voyagergpt.io (domínio não relacionado) |
| Estado | Comprometido — o IP já não pertence à UNICEF |
Análise: Este subdomínio aponta para um servidor de terceiros que apresenta um certificado SSL de um domínio completamente diferente (api.voyagergpt.io). Isto significa que o IP foi provavelmente reutilizado após a UNICEF deixar de o utilizar. Qualquer utilizador que aceda a crises.unicef.pt será direcionado para um servidor não controlado.
Ação recomendada: Remover imediatamente o registo A ou atualizá-lo para apontar para o App Service (uncwebprd.azurewebsites.net).
guerras.unicef.pt — Servidor Externo¶
| Propriedade | Valor |
|---|---|
| Tipo de Registo | A Record |
| IP | 138.68.187.218 |
| Provedor do IP | DigitalOcean |
| Comportamento | Redireciona para donativos.unicef.pt |
| Estado | Funcional, mas hospedado externamente |
Análise: Este subdomínio aponta para um servidor DigitalOcean que atualmente redireciona para donativos.unicef.pt. Embora funcional, o servidor não está sob controlo da infraestrutura Azure da UNICEF.
Ação recomendada: Migrar o redirecionamento para o App Service ou implementá-lo via Azure Front Door / IIS URL Rewrite.
presentesunicef.pt — Domínio Inativo¶
| Propriedade | Valor |
|---|---|
| Tipo de Registo | A Record (externo ao Azure DNS) |
| IP | 0.0.0.0 |
| Estado | Inativo — não resolve para nenhum servidor |
Análise: Este domínio externo (não é subdomínio de unicef.pt) resolve para 0.0.0.0, o que significa que não está funcional. O domínio está configurado como hostname no App Service, mas sem binding SSL e sem DNS válido.
Ação recomendada: Se o domínio ainda é propriedade da UNICEF, configurar DNS correto apontando para o App Service. Caso contrário, remover o hostname do App Service.
SSL Não Configurado em Múltiplos Hostnames¶
Os seguintes hostnames estão configurados no App Service mas sem certificado SSL:
| Hostname | SSL State |
|---|---|
| presentesunicef.pt | Sem SSL |
| www.presentesunicef.pt | Sem SSL |
| guerras.unicef.pt | Sem SSL |
| crises.unicef.pt | Sem SSL |
Ação recomendada: Para todos os hostnames que se pretenda manter ativos, configurar certificados SSL geridos pelo Azure (App Service Managed Certificates) ou via Let's Encrypt.