Domínios

Verificar um domínio

Adicione um nome de host em Painel → Domínios. Escolha um dos dois métodos de verificação:

• DNS TXT — adicione um registro em _fixweb.<hostname> com o token que geramos. Nós o resolvemos novamente a partir do nosso servidor, não do seu, para que configurações SPF / DMARC não interfiram. Propagação típica: 1-5 minutos; verificamos novamente a cada 30 segundos por 10 minutos.
• Arquivo HTTP — hospede um pequeno arquivo de texto em /.well-known/fixweb-verification.txt com o token. Buscamos via HTTPS pelo caminho de requisição protegido contra SSRF.

As verificações são refeitas diariamente pelo cron domain-reverify. Se um domínio anteriormente verificado deixar de resolver o token (por exemplo, se você remover o registro DNS), a verificação é revogada e varreduras ativas contra ele voltam para verify_required até você adicioná-lo novamente.

Novas varreduras agendadas Pro+

O plano Pro pode reescaneie um domínio verificado a ≥3h de cadência; o plano Unlimited a ≥1h. Abra Painel → Domínios → Agendar, ative o switch, escolha uma cadência:

• 1 hora — disponível apenas no plano Unlimited
• 3h, 6h, 12h, diariamente, a cada 2 dias, semanalmente

A cada tick do cron (a cada 15 min), o agendador pega agendamentos vencidos, reivindica-os por compare-and-swap otimista em next_run_at (para que dois crons não enfileirem em duplicidade), incrementa seu contador de uso de varreduras e enfileira uma nova varredura passiva. A varredura herda sua atestação de verificação de domínio — você não atesta novamente a cada execução — portanto desative o agendamento para revogar.

Ao concluir, o e-mail de varredura concluída é enviado usando a preferência scheduled_scan_email (gerencie em Conta → Configurações).

Detecção de ameaças em tempo real Unlimited+

O plano Unlimited monitora automaticamente todos os domínios verificados em busca de três sinais entre varreduras agendadas:

• Transparência de certificados — a cada 30 minutos consultamos crt.sh por novos certificados contendo seu nome de host ou qualquer subdomínio. Novos certificados disparam um alerta new_certificate.
• Diff de DNS — a cada 30 minutos resolvemos A, AAAA, MX, TXT, NS, CNAME e comparamos com o último snapshot. Alterações disparam um alerta dns_change.
• Threat intel — a cada hora verificamos Spamhaus DBL e URLhaus por listagens do nome de host apex. Listagens disparam um alerta threat_intel_listing.

Alertas são deduplicados por uma assinatura de hash de conteúdo, para que detectar novamente a mesma alteração não dispare de novo. Veja / descarte alertas em Painel → Domínios → [domínio] → Monitor. Notificações por e-mail seguem a preferência threat_alert_email.

Retenção de snapshots

Snapshots do monitor são removidos automaticamente após 7 dias, exceto a baseline mais recente por par (domínio, tipo de sinal) — essa fica independentemente da idade para que o próximo diff esteja correto. Alertas descartados são purgados após 90 dias.

Disparar pela API ou MCP

O gerenciamento de domínios atualmente existe apenas na UI — não há superfície de API para verificação ou mudanças de agendamento. Para iniciar uma varredura contra um domínio já verificado via API, use POST /api/v1/scans:

curl -X POST https://fixweb.app/api/v1/scans \
  -H "Authorization: Bearer fxw_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://example.com"}'