Defaults.Exposed

Defaults.Exposed › Relatórios

SPF Não É Suficiente: os 119 Milhões de Domínios Que Nunca Aplicam

Publicado 2026-07-03 · atualizado 2026-07-03

Números em 2026-06-29 · metodologia v7. Dados do censo que juntam verificações por domínio em 261 milhões de domínios avaliados. “A aplicar” = uma política DMARC de quarantine ou reject; “totalmente protegido” = SPF e DKIM ambos implementados, mais DMARC a aplicar — a tríade completa de autenticação de e-mail. Todos os números são agregados — nunca publicamos a classificação de um negócio individual.

A contagem: quantos domínios dependem só do SPF

O SPF sozinho não é suficiente para impedir a personificação de e-mail — e o censo já consegue contar quantos domínios dependem dele à mesma: 119.212.005 (119 milhões) publicam SPF mas nunca aplicam DMARC. Isso são 85,8% de todos os domínios que se deram ao trabalho de configurar SPF. O seu artigo companheiro, SPF sem DMARC, explica o mecanismo — porque é que o SPF não consegue defender o endereço “De” que uma pessoa realmente vê; este artigo mede a população — quantos domínios essa lacuna deixa expostos, e qual é a forma dessa exposição.

A versão curta: configurar o SPF é o ato de segurança de e-mail mais comum na internet e, para a esmagadora maioria dos domínios que o fizeram, é também o último.

As três populações

139 milhões de domínios — 138.911.937 deles — publicam um registo SPF. Divididos pelo que está por trás disso:

PopulaçãoDomíniosPercentagem dos publicadores de SPF
SPF publicado, nenhum registo DMARC de todo84.638.43060,9%
SPF publicado, DMARC presente mas nunca aplicado (superconjunto, inclui a linha acima)119.212.00585,8%
SPF + DKIM, suportados por DMARC a aplicar10.092.481

As linhas não somam ao total de SPF: os restantes são publicadores de SPF cujo DMARC aplica mas cujo DKIM não está totalmente implementado — a aplicar, mas aquém da tríade completa que a linha de baixo conta.

A linha do meio é o destaque: cerca de 119 milhões de domínios fizeram o trabalho de declarar os seus remetentes legítimos e depois nunca disseram às caixas de entrada do mundo para agir com base nisso. E a linha de baixo é o remate: entre todos os 261 milhões de domínios avaliados, apenas 3,87% — cerca de 10 milhões — estão totalmente protegidos no e-mail. A proteção total não é um patamar tecnicamente alto; é simplesmente o fim de uma jornada que 119 milhões de domínios começaram e pararam.

Porque é que a contagem é tão desequilibrada

O SPF é onde começa cada guia de configuração, onde termina a integração da maioria dos fornecedores de correio e o que a maioria das listas de conformidade realmente testa. Produz um artefacto visível — um registo TXT — e um visto verde em qualquer ferramenta que o tenha verificado. O DMARC aplicado produz a experiência oposta: exige uma progressão (publicar, observar, identificar remetentes e depois aplicar), e a sua recompensa é invisível — correio forjado que discretamente deixa de chegar.

Por isso a internet otimizou para o visto. O censo mostra como isto parece à escala: 85 milhões de domínios (84.638.430) têm SPF e nenhum registo DMARC de qualquer tipo — nem sequer um marcador p=none. Estes proprietários não são preguiçosos; seguiram as instruções que lhes deram, e as instruções pararam cedo.

O que “coberto” realmente significa aqui

Consequência, não medo: um domínio com SPF e sem DMARC a aplicar pode continuar a ser personificado no único lugar onde os humanos olham — a linha “De” visível. O SPF permite aos servidores recetores verificar quais as máquinas que podem enviar em nome do domínio do envelope, mas sem DMARC não há qualquer exigência de que o remetente visível corresponda a algo que o SPF verificou, e nenhuma instrução para rejeitar correio que falhe. A fatura forjada, a falsa reposição de palavra-passe, o redirecionamento de pagamento a fornecedor — tudo permanece entregável aos seus clientes e fornecedores em seu nome, apesar do registo SPF.

Nas seis fases de maturidade do DMARC, estes 119 milhões de domínios estão presos nas Fases 1–3 — o chão está construído, ou parcialmente construído, e a porta nunca foi colocada. A distância dali até protegido é bem compreendida e sobretudo processual; o que este censo acrescenta é o conhecimento de que quase ninguém a percorre.

Se o seu domínio é um dos 119 milhões

  1. Mantenha o SPF — é um pré-requisito, não um erro. (Corrigir SPF →.)
  2. Adicione DKIM para que o seu correio seja assinado além de ter origem verificada. (Corrigir DKIM →.)
  3. Publique DMARC com relatórios, depois apliquep=none com rua= primeiro, identifique cada remetente legítimo, depois passe para quarantine e reject. Este é o passo que converte “configurado” em “protegido”. (Corrigir DMARC →.)

Perguntas frequentes

O SPF é suficiente para proteger um domínio contra spoofing? Não. O SPF valida os servidores de envio face ao domínio do envelope; não verifica o endereço “De” visível nem diz aos recetores para rejeitar falhas. Só uma política DMARC a aplicar faz ambas as coisas — e 119.212.005 domínios publicam SPF sem uma.

Quantos domínios têm SPF mas nenhum DMARC de todo? 84.638.430 — 60,9% de todos os publicadores de SPF não têm registo DMARC de qualquer tipo, nem sequer em modo de monitorização.

Quantos domínios estão totalmente protegidos? 10.092.481 — 3,87% dos 261 milhões de domínios avaliados combinam SPF e DKIM com uma política DMARC de quarantine ou reject.

Ter SPF pelo menos ajuda? Sim — é a fundação que o DMARC avalia, e melhora a entregabilidade do seu correio legítimo. Só não protege nada por si só; é o passo um de três, e o censo mostra que a maior parte da internet o tratou como se fosse a escadaria inteira.

Verifique em que população está o seu domínio

“Configurámos SPF” descreve 139 milhões de domínios; “estamos protegidos” descreve 10 milhões. Descobrir qual dos dois é você demora um minuto, de forma privada e gratuita — veja quais das 34 verificações passa e como corrigir as que não passa.

Verifique o seu domínio → · As 6 fases de maturidade do DMARC → · O pilar DMARC → · Apenas dados agregados. Dados armazenados e processados na UE.