Defaults.Exposed › Relatórios
SPF Não É Suficiente: os 119 Milhões de Domínios Que Nunca Aplicam
Publicado 2026-07-03 · atualizado 2026-07-03
Números em 2026-06-29 · metodologia v7. Dados do censo que juntam verificações por domínio em 261 milhões de domínios avaliados. “A aplicar” = uma política DMARC de
quarantineoureject; “totalmente protegido” = SPF e DKIM ambos implementados, mais DMARC a aplicar — a tríade completa de autenticação de e-mail. Todos os números são agregados — nunca publicamos a classificação de um negócio individual.
A contagem: quantos domínios dependem só do SPF
O SPF sozinho não é suficiente para impedir a personificação de e-mail — e o censo já consegue contar quantos domínios dependem dele à mesma: 119.212.005 (119 milhões) publicam SPF mas nunca aplicam DMARC. Isso são 85,8% de todos os domínios que se deram ao trabalho de configurar SPF. O seu artigo companheiro, SPF sem DMARC, explica o mecanismo — porque é que o SPF não consegue defender o endereço “De” que uma pessoa realmente vê; este artigo mede a população — quantos domínios essa lacuna deixa expostos, e qual é a forma dessa exposição.
A versão curta: configurar o SPF é o ato de segurança de e-mail mais comum na internet e, para a esmagadora maioria dos domínios que o fizeram, é também o último.
As três populações
139 milhões de domínios — 138.911.937 deles — publicam um registo SPF. Divididos pelo que está por trás disso:
| População | Domínios | Percentagem dos publicadores de SPF |
|---|---|---|
| SPF publicado, nenhum registo DMARC de todo | 84.638.430 | 60,9% |
| SPF publicado, DMARC presente mas nunca aplicado (superconjunto, inclui a linha acima) | 119.212.005 | 85,8% |
| SPF + DKIM, suportados por DMARC a aplicar | 10.092.481 | — |
As linhas não somam ao total de SPF: os restantes são publicadores de SPF cujo DMARC aplica mas cujo DKIM não está totalmente implementado — a aplicar, mas aquém da tríade completa que a linha de baixo conta.
A linha do meio é o destaque: cerca de 119 milhões de domínios fizeram o trabalho de declarar os seus remetentes legítimos e depois nunca disseram às caixas de entrada do mundo para agir com base nisso. E a linha de baixo é o remate: entre todos os 261 milhões de domínios avaliados, apenas 3,87% — cerca de 10 milhões — estão totalmente protegidos no e-mail. A proteção total não é um patamar tecnicamente alto; é simplesmente o fim de uma jornada que 119 milhões de domínios começaram e pararam.
Porque é que a contagem é tão desequilibrada
O SPF é onde começa cada guia de configuração, onde termina a integração da maioria dos fornecedores de correio e o que a maioria das listas de conformidade realmente testa. Produz um artefacto visível — um registo TXT — e um visto verde em qualquer ferramenta que o tenha verificado. O DMARC aplicado produz a experiência oposta: exige uma progressão (publicar, observar, identificar remetentes e depois aplicar), e a sua recompensa é invisível — correio forjado que discretamente deixa de chegar.
Por isso a internet otimizou para o visto. O censo mostra como isto parece à escala: 85 milhões de domínios (84.638.430) têm SPF e nenhum registo DMARC de qualquer tipo — nem sequer um marcador p=none. Estes proprietários não são preguiçosos; seguiram as instruções que lhes deram, e as instruções pararam cedo.
O que “coberto” realmente significa aqui
Consequência, não medo: um domínio com SPF e sem DMARC a aplicar pode continuar a ser personificado no único lugar onde os humanos olham — a linha “De” visível. O SPF permite aos servidores recetores verificar quais as máquinas que podem enviar em nome do domínio do envelope, mas sem DMARC não há qualquer exigência de que o remetente visível corresponda a algo que o SPF verificou, e nenhuma instrução para rejeitar correio que falhe. A fatura forjada, a falsa reposição de palavra-passe, o redirecionamento de pagamento a fornecedor — tudo permanece entregável aos seus clientes e fornecedores em seu nome, apesar do registo SPF.
Nas seis fases de maturidade do DMARC, estes 119 milhões de domínios estão presos nas Fases 1–3 — o chão está construído, ou parcialmente construído, e a porta nunca foi colocada. A distância dali até protegido é bem compreendida e sobretudo processual; o que este censo acrescenta é o conhecimento de que quase ninguém a percorre.
Se o seu domínio é um dos 119 milhões
- Mantenha o SPF — é um pré-requisito, não um erro. (Corrigir SPF →.)
- Adicione DKIM para que o seu correio seja assinado além de ter origem verificada. (Corrigir DKIM →.)
- Publique DMARC com relatórios, depois aplique —
p=nonecomrua=primeiro, identifique cada remetente legítimo, depois passe paraquarantineereject. Este é o passo que converte “configurado” em “protegido”. (Corrigir DMARC →.)
Perguntas frequentes
O SPF é suficiente para proteger um domínio contra spoofing? Não. O SPF valida os servidores de envio face ao domínio do envelope; não verifica o endereço “De” visível nem diz aos recetores para rejeitar falhas. Só uma política DMARC a aplicar faz ambas as coisas — e 119.212.005 domínios publicam SPF sem uma.
Quantos domínios têm SPF mas nenhum DMARC de todo? 84.638.430 — 60,9% de todos os publicadores de SPF não têm registo DMARC de qualquer tipo, nem sequer em modo de monitorização.
Quantos domínios estão totalmente protegidos?
10.092.481 — 3,87% dos 261 milhões de domínios avaliados combinam SPF e DKIM com uma política DMARC de quarantine ou reject.
Ter SPF pelo menos ajuda? Sim — é a fundação que o DMARC avalia, e melhora a entregabilidade do seu correio legítimo. Só não protege nada por si só; é o passo um de três, e o censo mostra que a maior parte da internet o tratou como se fosse a escadaria inteira.
Verifique em que população está o seu domínio
“Configurámos SPF” descreve 139 milhões de domínios; “estamos protegidos” descreve 10 milhões. Descobrir qual dos dois é você demora um minuto, de forma privada e gratuita — veja quais das 34 verificações passa e como corrigir as que não passa.
Verifique o seu domínio → · As 6 fases de maturidade do DMARC → · O pilar DMARC → · Apenas dados agregados. Dados armazenados e processados na UE.