Estratégia de retry na validação de e‑mail para falhas de DNS e rede

Por que falhas temporárias atrapalham cadastros

Falhas de DNS e rede acontecem o tempo todo, mesmo quando o endereço de e-mail é real. O provedor do usuário pode perder pacotes por alguns segundos, um resolvedor DNS corporativo pode ficar lento, ou o host de DNS de um domínio pode ter uma breve interrupção. Seu validador pode fazer tudo certo e ainda assim não obter uma resposta a tempo.

O problema é o que muitos fluxos de cadastro fazem em seguida: tratam “sem resposta” como “e-mail ruim”. Isso transforma uma incerteza temporária em uma rejeição definitiva. O custo aparece imediatamente. Um bom usuário é bloqueado, abandona o formulário e muitas vezes não volta. Se você roda anúncios ou campanhas de parceiros, também perde investimento ao rejeitar justamente quem você pagou para atrair.

Falhas temporárias também criam dados confusos. Usuários tentam outro endereço, digitam mais rápido e cometem erros, ou recorrem a um e-mail descartável só para passar pelo formulário. Isso pode prejudicar a entregabilidade mais tarde do que uma abordagem cautelosa e amigável ao usuário.

O objetivo de uma estratégia de retry é simples: reduzir rejeições falsas sem deixar lixo óbvio passar livremente. Você ainda quer bloquear problemas claros, como sintaxe inválida, provedores descartáveis conhecidos e domínios que não existem.

Uma falha temporária não é o mesmo que um endereço inválido. Significa que você não conseguiu completar uma ou mais checagens (como lookup DNS ou verificação MX) dentro do tempo permitido. Trate isso como “desconhecido por enquanto” e projete o fluxo de cadastro para que um usuário real possa continuar enquanto você tenta novamente em segundo plano ou confirma depois. Ferramentas como Verimail podem retornar um resultado mais granular (não apenas aceitar/rejeitar), o que facilita esse tipo de decisão.

O que conta como falha temporária (e o que não conta)

Uma “falha temporária” é qualquer resultado onde o e-mail pode estar ok, mas algo no caminho da verificação foi instável. Sua estratégia de retry deve tratar esses casos como “incertos” em vez de “ruins”, para não bloquear usuários reais.

O DNS é a fonte mais comum de confusão porque os resultados podem parecer semelhantes, mas significam coisas bem diferentes:

• Timeout do resolvedor DNS: seu sistema não obteve resposta a tempo. Normalmente temporário (resolvedor ocupado, perda de pacotes). Retryável.
• SERVFAIL: o sistema DNS falhou ao responder corretamente (frequentemente problemas a montante). Normalmente temporário. Retryável.
• NXDOMAIN: o domínio não existe. Tipicamente permanente e deve ser tratado como inválido (embora você possa pedir ao usuário para checar erros de digitação).

Problemas de rede para o seu provedor de validação também são frequentemente temporários. Um timeout de requisição, conexão interrompida ou problema de roteamento transitório não dizem nada sobre o e-mail em si. Trate como retryável e mantenha o cadastro fluindo.

Rate limits e erros do servidor precisam de visão dividida. 429 rate limit e muitos 5xx são muitas vezes temporários, mas também podem ser “temporários por sua causa” (muitas requisições de uma vez). Faça retries, mas apenas com backoff e um limite.

Finalmente, algumas falhas são locais ao usuário: bloqueios DNS corporativos, um portal cativo em Wi‑Fi público ou uma instabilidade do ISP. Se só um usuário relata “não consigo me cadastrar” enquanto outros estão bem, assuma um problema temporário local e evite bloqueio rígido. Marque o e-mail como “não verificado por enquanto” e reconsidere depois.

Timeouts que mantêm o fluxo fluindo

Timeouts não são apenas um detalhe técnico. Eles decidem se uma pessoa real entra no seu produto ou fica presa vendo um carregando.

Comece definindo um orçamento de tempo rigoroso para toda a etapa de validação no fluxo de cadastro. Para muitos cadastros de produto consumidor, 300 a 800 ms parece instantâneo. Para fluxos de maior risco ou B2B, você pode gastar 1 a 2 segundos, mas ultrapassar isso deve ser uma escolha deliberada.

Use timeouts separados para cada dependência, porque elas falham de modos diferentes. Lookups DNS e MX podem demorar mais do que você espera durante problemas de resolvedor, enquanto uma chamada HTTP para uma API de validação costuma ser mais previsível.

Uma configuração prática pode ser assim:

• Orçamento total de validação por cadastro: 800 a 1500 ms
• Timeout de lookup DNS (A/AAAA/MX): 200 a 400 ms por tentativa
• Timeout de chamada HTTP ao seu validador: 400 a 900 ms (incluindo conexão)
• Limite máximo de tempo gasto em retries: 1.5 a 2.5 segundos

Quando o orçamento acaba, prefira falhar de forma suave em timeouts em vez de falhar fechado. Trate o resultado como incerto, não inválido. Deixe o usuário continuar, mas marque o e-mail para verificações posteriores. Mesmo que seu validador seja rápido em condições normais, você ainda precisa do seu próprio orçamento para que uma rede lenta não bloqueie todo o cadastro.

Mantenha timeouts consistentes entre web e mobile. Redes móveis podem ser mais lentas, mas a expectativa do usuário é a mesma: o botão deve responder. Se você muda os limites por plataforma, também muda quem é bloqueado.

Registre timeouts para poder ajustar depois. Acompanhe alguns contadores simples: taxa de timeout por etapa (DNS vs HTTP), latência mediana e p95 da validação, porcentagem de cadastros que entraram no estado incerto e os resultados posteriores (e-mail confirmado, bounce, churn). Esses dados dizem se você deve aumentar o orçamento, apertá‑lo ou focar em consertar uma dependência instável.

Estratégias de retry que funcionam na prática

Uma boa estratégia de retry é menos sobre “tentar tudo” e mais sobre escolher os poucos casos onde uma segunda tentativa realmente ajuda. Se seu lookup DNS ou chamada de rede falha uma vez, muitas vezes dá certo pouco depois. Mas se você ficar martelando, pode criar sua própria indisponibilidade.

Um plano de retry prático

Use backoff exponencial com jitter. O backoff reduz carga. O jitter (um pequeno atraso aleatório) evita uma onda sincronizada quando muitos cadastros atingem a mesma falha ao mesmo tempo.

Um padrão simples para uma tentativa de validação:

• Tente uma vez com um timeout curto.
• Se o erro for retryável, tente 1 a 2 vezes com backoff exponencial + jitter.
• Pare assim que obtiver uma resposta clara.
• Se continuar incerto, retorne um estado de fallback seguro (não entre em loop).

O que é retryável? Apenas erros que provavelmente se resolvem rápido, como timeouts DNS, falhas temporárias do servidor DNS, timeouts de rede e respostas 5xx a montante. Não reitere em resultados de “não” definitivo, como sintaxe inválida, domínios inexistentes ou correspondência confirmada com provedores descartáveis.

Separe retries imediatos de retries em background. Retries imediatos acontecem durante a requisição de cadastro, então mantenha‑os poucos e rápidos. Retries em background ocorrem depois que o usuário é criado (ou depois que você aceita o e-mail com status pendente). Eles podem ser mais lentos e abrangentes, porque o usuário não está esperando.

Mantenha consistência entre regiões

O comportamento de retry deve ser previsível onde quer que o usuário se cadastre. Use as mesmas contagens de retry, orçamento de timeout e estados de fallback em todas as regiões, e registre as mesmas categorias de erro. Caso contrário, um data center pode aceitar um e‑mail como “desconhecido” enquanto outro o bloqueia, o que parece aleatório para os usuários e é difícil de depurar.

Se você usa uma API de validação como Verimail, aplique as mesmas regras de retry do lado cliente em todas as implantações. Também garanta que seu jitter seja realmente aleatório por requisição, e não sincronizado por servidor.

Estados de fallback seguros que evitam bloquear bons usuários

Falhas temporárias de DNS e rede não devem virar rejeições permanentes. A correção mais simples é separar “sabemos que é ruim” de “não conseguimos terminar a checagem”. Essa distinção torna o fluxo mais tolerante sem abrir margem para lixo óbvio.

Um modelo de estados prático:

• Válido: checagens concluídas e aprovadas.
• Inválido: falha clara (sintaxe errada, domínio inexistente, sem MX quando necessário).
• Arriscado: tecnicamente entregável, mas suspeito (provedor descartável, padrões de armadilha de spam conhecidos, sinais de baixa qualidade).
• Desconhecido-temporário: houve timeout ou erro de rede antes de terminar as checagens.

O que fazer com desconhecido-temporário depende da sua tolerância ao risco e do que o usuário está tentando fazer. Opções comuns incluem permitir o cadastro e verificar depois (produtos de baixo risco), permitir com limitações (nenhuma ação de alto risco até rechecagem), criar a conta mas segurar envios até revalidação, ou exigir um segundo fator (código único) se o risco de fraude for alto.

Armazene o último resultado de validação mais um TTL curto (por exemplo, 10 a 60 minutos para unknown-temporary). Se o usuário retornar, não execute todas as checagens imediatamente. Revalide só quando o TTL expirar ou antes da primeira ação crítica (como enviar um e‑mail de boas‑vindas).

No texto da interface, não trate desconhecido como inválido. Diga “Não conseguimos verificar seu e‑mail agora. Você pode continuar e nós vamos rechecar em breve” em vez de “E‑mail inválido”.

Crie um caminho claro de revalidação após o cadastro: uma rechecagem em background, um botão “Reenviar verificação” e uma visão administrativa que mostre o estado mais recente. Com essa abordagem, as checagens por estágios do Verimail (sintaxe, verificação de domínio, lookup MX, detecção de descartáveis) ajudam a manter proteções fortes sem punir usuários reais por interrupções temporárias.

Padrões de UX no cadastro para validação incerta

Quando checagens de DNS ou rede falham, o pior é tratar o usuário como fraudador. Um objetivo melhor é simples: seja honesto sobre a incerteza, deixe bons usuários continuar e adicione uma segunda camada de segurança.

Use uma cópia direta e amigável que explique o que aconteceu sem culpar o usuário. “Não conseguimos verificar este e‑mail agora. Você pode continuar, mas vamos confirmar em breve.” Isso ajusta expectativas e reduz desistências.

Quando a validação estiver incerta, permita progressão com atrito leve em vez de bloqueio rígido. Alguns padrões que funcionam bem:

• Mostrar CAPTCHA apenas em resultados incertos ou após várias tentativas.
• Aplicar limites suaves por IP ou dispositivo (cooldown após tentativas repetidas).
• Oferecer um botão “Tentar novamente” após uma breve espera.
• Padrão: “continuar, então verificar por e‑mail”.

A confirmação por e‑mail vira sua segunda linha de defesa. Se você não consegue confirmar a mailbox em tempo real, envie imediatamente um e‑mail de verificação e barre funcionalidades importantes até a confirmação. Isso mantém sua lista limpa sem causar rejeições falsas.

Considere também adiar aplicação estrita até o momento em que o risco aumenta. Deixe a conta existir, mas exija e‑mail confirmado antes de convidar colegas, exportar dados ou solicitar pagamentos. Isso transforma a incerteza em um estado temporário, não em um beco sem saída.

Falhas repetidas precisam de manejo cuidadoso. Não bloqueie alguém só porque o ISP dele teve uma hora ruim. Escale gradualmente: primeiro mostre uma mensagem clara, depois aumente o atrito, depois exija verificação, e só bloqueie padrões óbvios de abuso mais tarde.

Se você usa uma API como Verimail, projete sua estratégia de retry para que “desconhecido por timeout” mapeie para esse caminho de UX, e não para “inválido”.

Proteja a entregabilidade mantendo a usabilidade

Quando checagens de DNS ou rede falham, o pior é tratar “desconhecido” como “ruim”. Um bom e‑mail pode parecer inválido por alguns segundos, e bloquear essa pessoa prejudica cadastros. Mas aceitar tudo sem controles pode prejudicar sua reputação de envio depois. O objetivo é equilíbrio: deixar o usuário entrar e manter endereços de risco longe da sua reputação.

Uma estratégia sólida usa um estado temporário que significa “não conseguimos verificar agora”. Se o endereço passou a sintaxe básica mas domínio ou lookup MX deram timeout, você pode criar a conta enquanto limita o que acontece em seguida.

Uma abordagem prática que protege entregabilidade sem punir usuários reais:

• Aceite o cadastro, mas marque a conta como “verificação pendente” quando a falha for claramente temporária.
• Faça retries em background (minutos depois, e mais algumas vezes) e promova a conta para “verificada” só quando as checagens tiverem sucesso.
• Segure envios de marketing e campanhas em massa até o e‑mail ser confirmado. Mensagens transacionais como reset de senha podem ser permitidas, mas monitore feedback de bounces.
• Mantenha listas de supressão (hard bounces, reclamações) separadas de erros temporários. Um timeout DNS nunca deve colocar um endereço em blocklist permanente.
• Se retries confirmarem uma falha definitiva, pare de enviar e peça ao usuário para atualizar o e‑mail.

Essa postura de “tentar depois” não é só gentileza. Protege sua reputação de envio porque evita mandar campanhas para endereços que podem estar mortos ou serem descartáveis, ao mesmo tempo em que oferece uma primeira experiência suave ao usuário.

Exemplo: um usuário se cadastra durante uma breve queda de DNS no provedor dele. Sua validação não consegue confirmar registros MX. Você cria a conta, sinaliza como pendente e permite o uso do produto. Uma hora depois o retry tem sucesso e o status vai para confirmado. Com Verimail, isso mapeia bem para tratar erros de rede e DNS como “desconhecido” e rechecar logo em seguida, em vez de rejeitar o cadastro.

Erros comuns e armadilhas

A maioria dos problemas de cadastro durante oscilações de DNS ou rede é autoinfligida. Um e‑mail correto vira ruim, ou o fluxo de cadastro fica lento o suficiente para as pessoas saírem.

Uma armadilha comum é retryar com agressividade demais. Dez retries rápidos podem parecer “mais seguros”, mas transformam uma oscilação breve de DNS em um envio de formulário lento. Usuários acham que o site está quebrado e abandonam a página, embora o endereço esteja ok.

Outra armadilha é pular o jitter. Se você retrya a cada 1, 2, 4 segundos certinho, muitas requisições se alinham e atingem seu resolvedor DNS ou serviço de validação ao mesmo tempo. Essa onda sincronizada pode agravar uma pequena queda, especialmente em picos de tráfego.

Cuidado com o significado do erro. SERVFAIL geralmente significa “tente novamente depois”, não “esse domínio não existe”. NXDOMAIN é mais próximo de “o domínio não é real”. Confundir esses dois leva a rejeições falsas e usuários zangados que não fizeram nada errado.

Também não coloque todo erro no mesmo saco. Uma indisponibilidade do lado do provedor (seus servidores não alcançam DNS) é diferente de um problema do lado do usuário (rede do usuário bloqueando DNS, portal cativo). Tratar ambos como “e‑mail inválido” é incorreto e prejudicial.

Erros para pegar em revisão de código:

• Marcar erros temporários de DNS como inválidos permanentes.
• Fazer retries sem um teto e sem jitter.
• Usar timeouts longos que bloqueiam todo o cadastro.
• Não registrar qual etapa falhou (sintaxe, domínio, MX, blocklist).
• Retornar um “erro” genérico sem código de razão interno.

Falta de observabilidade torna tudo mais difícil. Se você não logar timeouts, taxas de SERVFAIL, contagens de retry e resultados finais, não saberá se deve ajustar timeouts ou consertar o DNS. Ferramentas como Verimail expõem resultados claros de validação, mas você ainda precisa capturá‑los e traçar tendências para detectar quedas rapidamente.

Checklist rápido antes do deploy

Antes de colocar sua estratégia de retry em produção, decida o que significa “rápido o suficiente” para seu cadastro. Muitas equipes focam em retries e só descobrem depois que a tela fica carregando por 10 segundos quando o DNS está lento.

Escreva um orçamento de timeout claro. Escolha um número para toda a etapa da UI (o que o usuário sente) e números menores para cada chamada interna (o que seu sistema pode gastar). Se usar uma API como Verimail, trate‑a como parte do orçamento, não todo o orçamento.

Checklist:

• Defina timeouts em dois níveis: o passo da UI (total) e a chamada de validação (por tentativa). Confirme que o pior caso ainda é aceitável.
• Documente quais erros são retryáveis (timeout DNS, falha temporária de rede, 5xx) e quais não são (sintaxe inválida, sem MX, domínio descartável conhecido).
• Implemente backoff exponencial com jitter e limite de retries. Garanta que múltiplos usuários não retryem em sincronia.
• Escolha um estado de fallback para “desconhecido agora” e escreva a mensagem exata ao usuário. Mantenha calma e acionável (por exemplo, “Vamos verificar esse e‑mail em segundo plano”).
• Defina a política de rechecagem: quando revalidar, com que frequência tentar de novo e quando parar e pedir ao usuário para confirmar.

Teste como se fosse falhar. Simule um resolvedor DNS lento, perda de pacotes e force um 503. Observe a experiência completa: tempo na tela, texto de erro e o que acontece depois da criação da conta quando a validação volta.

Exemplo: um bom usuário durante uma breve queda de DNS

Um exemplo real: Jamie se cadastra no seu produto às 9:12. Seu app chama o validador de e‑mail para checar o endereço antes de criar a conta.

Naquele momento, seu resolvedor DNS tem uma breve indisponibilidade. O validador não consegue olhar os registros MX com confiabilidade, então a primeira tentativa bate em timeout. Isso não é sinal de que o e‑mail é falso: é sinal de que o caminho de rede teve um minuto ruim.

Em vez de bloquear Jamie, seu sistema atribui um estado temporário como “desconhecido (transitório)” e deixa o cadastro prosseguir. Você cria a conta, mas evita considerar o endereço como comprovadamente bom até obter um resultado limpo.

Sua lógica de retry espera um pouco e tenta de novo. Por exemplo, você pode usar backoff exponencial: 1s, depois 3s, e então parar e passar para uma checagem em background. Na segunda tentativa (após uma breve pausa), o DNS voltou e o lookup MX tem sucesso. O endereço é marcado como válido em segundos, e Jamie não percebe nada.

Por trás dos panos, o fluxo pode ser assim:

• Tentativa 1: timeout no DNS ou lookup MX -> status unknown (transitório)
• Tentativa 2 (após backoff): sucesso -> atualizar status para válido
• Job em background: revalidar mais tarde por segurança

Se o e‑mail permanecer desconhecido após os retries rápidos, você ainda não precisa rejeitar Jamie. Trate a conta como “não verificada” até que ele confirme o endereço. Deixe-o usar o produto, mas segure ações de alto risco (como sequências promocionais) até a confirmação.

Se você usa Verimail, isso se alinha bem a tratar falhas de rede e DNS como resultados retryáveis, mantendo o caminho de cadastro fluido e seu envio honesto.

Próximos passos: definir padrões, medir e melhorar

Comece com uma estratégia de retry simples, fácil de explicar e depurar. Escolha padrões conservadores primeiro e ajuste depois com dados reais do seu tráfego. A maioria das equipes perde tempo discutindo configurações “perfeitas” sem saber com que frequência DNS e problemas de rede acontecem para seus usuários.

Configure logs estruturados para cada tentativa de validação. Capture o resultado (válido, inválido, descartável, desconhecido), a razão (timeout DNS, erro de conexão, sem MX, etc.), a latência e se o usuário completou o cadastro. Isso transforma achismos em um backlog claro.

Padrões razoáveis para começar:

• Use timeouts curtos (por exemplo, 1 a 2 segundos de orçamento total de validação durante o cadastro).
• Faça retries apenas em erros claramente temporários, com 1 a 2 tentativas e backoff exponencial.
• Trate “desconhecido por timeout” como estado temporário, não como rejeição automática.
• Recheque depois, em background, antes de enviar o primeiro e‑mail real.

Decida desde o início quais ações realmente exigem um e‑mail confirmado. O cadastro pode permitir “desconhecido”, mas envio de marketing, convites de equipe ou aumento de limites podem exigir confirmação.

Se você não quer construir e manter checagens DNS, detecção de descartáveis e matching de blocklists, uma API de validação como Verimail pode cuidar disso em uma chamada e retornar códigos de razão claros para sua lógica de fallback.

Implemente mudanças gradualmente. Acompanhe conversão de cadastros, latência de validação, taxa de bounces e taxa de reclamações em conjunto. Se a conversão melhorar mas os bounces dispararem, aperte regras apenas nos caminhos de alto risco, não para todo novo usuário.