Defaults.Exposed

Defaults.Exposed › Relatórios

Alguém pode enviar e-mails fingindo ser a sua empresa? Na maioria dos domínios, sim (2026)

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados de censo agregados de 261 milhões de domínios avaliados. «Pode ser falsificado» significa que o domínio não aplica o DMARC (sem política de quarentena ou rejeição), o controlo que diz aos servidores de e-mail recetores para deterem o correio forjado. Veja como avaliamos.

Para a maioria das empresas, sim — alguém pode enviar e-mails que parecem ter vindo exatamente do seu domínio. Apenas 10,59% dos 261 milhões de domínios que avaliámos aplicam o DMARC, o único controlo que realmente bloqueia a falsificação de identidade. Os restantes 89,41% deixam a porta aberta: um burlão pode colocar o seu endereço exato na linha «De» e a maioria das caixas de entrada mostrá-lo-á como genuíno. Este é o mecanismo por trás de faturas falsas, pedidos de pagamento por fraude do CEO e burlas a fornecedores — e não custa nada tentar.

Alguém pode mesmo enviar e-mails como se fosse o meu domínio?

Se o seu domínio não aplicar o DMARC, então sim. O e-mail foi concebido sem uma forma integrada de verificar o remetente, por isso o endereço «De» é trivial de forjar. Três definições, em camadas, resolvem isto — SPF, DKIM e DMARC — mas só a última, definida para aplicar, diz ao servidor recetor para realmente rejeitar ou colocar em quarentena uma falsificação. Em 2026-06-29:

Por isso 89,41% dos domínios — mais de oito em cada dez — podem ter a identidade falsificada por e-mail hoje em dia.

«Mas temos SPF» — porque isso não chega

Este é o equívoco mais comum e mais perigoso. 53,21% dos domínios publicam um registo SPF, muito mais do que os 10,59% que aplicam o DMARC. Os proprietários veem o SPF e assumem que estão cobertos. Não estão: o SPF (e o DKIM) verificam o caminho técnico de envio, mas não governam o endereço «De» que uma pessoa realmente vê. Sem o DMARC definido para aplicar, um atacante ainda pode passar no SPF na sua própria infraestrutura e forjar o seu endereço visível. O SPF é canalização necessária; a aplicação do DMARC é a fechadura.

Quão exposto está o seu canto da web?

A aplicação varia muito consoante a terminação do domínio. Mais alto é melhor — é a proporção de domínios que realmente bloqueiam a falsificação de identidade. Em 2026-06-29:

Terminação do domínioQue aplicam DMARCPodem ser falsificados
.nl (Países Baixos)29,43%29,43% protegidos, resto exposto
.de (Alemanha)21,38%
.in (Índia)19,26%
.uk (Reino Unido)13,42%
.com9,50%a terminação mais usada está abaixo da média global de 10,59%
.net10,08%
.org10,01%
.xyz5,15%
.top3,17%
.cn (China)1,45%a mais baixa das principais terminações

Mesmo a terminação grande com melhor desempenho protege menos de um terço dos seus domínios. No .com — onde vive a maioria das empresas — apenas 9,50% aplicam o DMARC.

Quanto isto custa realmente a uma empresa

A falsificação de identidade por e-mail é o mecanismo por trás de alguns dos crimes online mais dispendiosos comunicados às autoridades policiais em todo o mundo — o comprometimento de e-mail empresarial. O padrão é sempre o mesmo:

Nada disto requer invadir os seus sistemas. Requer apenas que o seu domínio não aplique o DMARC — o que, para 89,41% dos domínios, não acontece.

Como saber se está protegido (e corrigir)

Não consegue saber de fora se você está nos 10,59% — a única forma de saber é verificar o seu domínio. A correção é gratuita e geralmente leva uma tarde, feita por ordem: publique SPF e DKIM, depois mova o DMARC para aplicação (p=nonequarantinereject). O último passo é o que realmente fecha a porta.

Perguntas frequentes

Alguém pode enviar um e-mail fazendo-se passar pela minha empresa? Se o seu domínio não aplicar o DMARC (uma política de quarentena ou rejeição), sim — o seu endereço «De» exato pode ser forjado e a maioria das caixas de entrada mostrá-lo-á como genuíno. Em 2026-06-29, 89,41% dos domínios avaliados estão neste estado.

Já temos SPF — não estamos seguros? Não. O SPF verifica o caminho técnico de envio, mas não o endereço «De» visível. 53,21% dos domínios publicam SPF, mas sem o DMARC definido para aplicar, o seu endereço ainda pode ser forjado. Precisa do DMARC em quarantine ou reject.

Um registo DMARC não é suficiente? Só se aplicar. Um registo definido para p=none (apenas monitorização) — que 14,29% dos domínios usam — não faz nada para deter a falsificação. Só quarantine ou reject o fazem, e apenas 10,59% dos domínios lá chegam.

Como verifico o meu próprio domínio? Faça uma verificação gratuita e privada (abaixo). Só mostramos o resultado de um domínio ao seu proprietário verificado.

É caro corrigir isto? Não. SPF, DKIM e DMARC são definições de DNS gratuitas. O custo é o tempo de as configurar na ordem certa, não dinheiro.

Verifique se o seu domínio pode ser falsificado

Não adivinhe de que lado dos 10,59% está. Verifique o seu domínio de forma privada e gratuita — verá o seu estado de DMARC, SPF e DKIM e exatamente o que corrigir.

Verifique o seu domínio → · Corrigir DMARC → · Corrigir SPF → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.