Defaults.Exposed › Relatórios
Alguém pode enviar e-mails fingindo ser a sua empresa? Na maioria dos domínios, sim (2026)
Publicado 2026-06-29
Números em 2026-06-29 · metodologia v7. Dados de censo agregados de 261 milhões de domínios avaliados. «Pode ser falsificado» significa que o domínio não aplica o DMARC (sem política de quarentena ou rejeição), o controlo que diz aos servidores de e-mail recetores para deterem o correio forjado. Veja como avaliamos.
Para a maioria das empresas, sim — alguém pode enviar e-mails que parecem ter vindo exatamente do seu domínio. Apenas 10,59% dos 261 milhões de domínios que avaliámos aplicam o DMARC, o único controlo que realmente bloqueia a falsificação de identidade. Os restantes 89,41% deixam a porta aberta: um burlão pode colocar o seu endereço exato na linha «De» e a maioria das caixas de entrada mostrá-lo-á como genuíno. Este é o mecanismo por trás de faturas falsas, pedidos de pagamento por fraude do CEO e burlas a fornecedores — e não custa nada tentar.
Alguém pode mesmo enviar e-mails como se fosse o meu domínio?
Se o seu domínio não aplicar o DMARC, então sim. O e-mail foi concebido sem uma forma integrada de verificar o remetente, por isso o endereço «De» é trivial de forjar. Três definições, em camadas, resolvem isto — SPF, DKIM e DMARC — mas só a última, definida para aplicar, diz ao servidor recetor para realmente rejeitar ou colocar em quarentena uma falsificação. Em 2026-06-29:
- 75,11% dos domínios não têm qualquer registo DMARC.
- 14,29% têm um registo DMARC definido para apenas monitorização (
p=none) — parece proteção numa auditoria, mas diz aos recetores para não fazerem nada, por isso o correio falsificado continua a chegar. - Apenas 10,59% aplicam uma política de
quarantineoureject— a configuração que detém a falsificação de identidade.
Por isso 89,41% dos domínios — mais de oito em cada dez — podem ter a identidade falsificada por e-mail hoje em dia.
«Mas temos SPF» — porque isso não chega
Este é o equívoco mais comum e mais perigoso. 53,21% dos domínios publicam um registo SPF, muito mais do que os 10,59% que aplicam o DMARC. Os proprietários veem o SPF e assumem que estão cobertos. Não estão: o SPF (e o DKIM) verificam o caminho técnico de envio, mas não governam o endereço «De» que uma pessoa realmente vê. Sem o DMARC definido para aplicar, um atacante ainda pode passar no SPF na sua própria infraestrutura e forjar o seu endereço visível. O SPF é canalização necessária; a aplicação do DMARC é a fechadura.
Quão exposto está o seu canto da web?
A aplicação varia muito consoante a terminação do domínio. Mais alto é melhor — é a proporção de domínios que realmente bloqueiam a falsificação de identidade. Em 2026-06-29:
| Terminação do domínio | Que aplicam DMARC | Podem ser falsificados |
|---|---|---|
| .nl (Países Baixos) | 29,43% | 29,43% protegidos, resto exposto |
| .de (Alemanha) | 21,38% | — |
| .in (Índia) | 19,26% | — |
| .uk (Reino Unido) | 13,42% | — |
| .com | 9,50% | a terminação mais usada está abaixo da média global de 10,59% |
| .net | 10,08% | — |
| .org | 10,01% | — |
| .xyz | 5,15% | — |
| .top | 3,17% | — |
| .cn (China) | 1,45% | a mais baixa das principais terminações |
Mesmo a terminação grande com melhor desempenho protege menos de um terço dos seus domínios. No .com — onde vive a maioria das empresas — apenas 9,50% aplicam o DMARC.
Quanto isto custa realmente a uma empresa
A falsificação de identidade por e-mail é o mecanismo por trás de alguns dos crimes online mais dispendiosos comunicados às autoridades policiais em todo o mundo — o comprometimento de e-mail empresarial. O padrão é sempre o mesmo:
- Um cliente recebe uma «fatura» do seu endereço com os dados bancários do burlão, paga-a e descobre a fraude semanas depois — muitas vezes tratando-a como falha sua.
- Um colaborador recebe um pedido urgente «do chefe» para movimentar dinheiro ou comprar cartões-presente. O endereço é genuinamente seu, por isso cumpre.
- A um fornecedor é dito «os nossos dados bancários mudaram» num e-mail que passa em todas as verificações visuais.
Nada disto requer invadir os seus sistemas. Requer apenas que o seu domínio não aplique o DMARC — o que, para 89,41% dos domínios, não acontece.
Como saber se está protegido (e corrigir)
Não consegue saber de fora se você está nos 10,59% — a única forma de saber é verificar o seu domínio. A correção é gratuita e geralmente leva uma tarde, feita por ordem: publique SPF e DKIM, depois mova o DMARC para aplicação (p=none → quarantine → reject). O último passo é o que realmente fecha a porta.
Perguntas frequentes
Alguém pode enviar um e-mail fazendo-se passar pela minha empresa? Se o seu domínio não aplicar o DMARC (uma política de quarentena ou rejeição), sim — o seu endereço «De» exato pode ser forjado e a maioria das caixas de entrada mostrá-lo-á como genuíno. Em 2026-06-29, 89,41% dos domínios avaliados estão neste estado.
Já temos SPF — não estamos seguros?
Não. O SPF verifica o caminho técnico de envio, mas não o endereço «De» visível. 53,21% dos domínios publicam SPF, mas sem o DMARC definido para aplicar, o seu endereço ainda pode ser forjado. Precisa do DMARC em quarantine ou reject.
Um registo DMARC não é suficiente?
Só se aplicar. Um registo definido para p=none (apenas monitorização) — que 14,29% dos domínios usam — não faz nada para deter a falsificação. Só quarantine ou reject o fazem, e apenas 10,59% dos domínios lá chegam.
Como verifico o meu próprio domínio? Faça uma verificação gratuita e privada (abaixo). Só mostramos o resultado de um domínio ao seu proprietário verificado.
É caro corrigir isto? Não. SPF, DKIM e DMARC são definições de DNS gratuitas. O custo é o tempo de as configurar na ordem certa, não dinheiro.
Verifique se o seu domínio pode ser falsificado
Não adivinhe de que lado dos 10,59% está. Verifique o seu domínio de forma privada e gratuita — verá o seu estado de DMARC, SPF e DKIM e exatamente o que corrigir.
Verifique o seu domínio → · Corrigir DMARC → · Corrigir SPF → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.