Defaults.Exposed

Defaults.Exposed › Relatórios

«quarentine», «ninguno», «non»: os erros de DMARC mais comuns da internet (2026)

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados agregados do censo: o token de política p= de cada registro _dmarc publicado em 261 milhões de domínios avaliados, sem duplicatas por domínio. Veja como avaliamos.

Configurar DMARC é trabalhoso, e os dados mostram isso: 48.648 domínios publicaram um registro DMARC cuja política está escrita errada, escrita no idioma errado ou totalmente ausente — então não faz nada. Eles fizeram a parte difícil (publicar um registro) e tropeçaram na última palavra. Uma política DMARC só protege você se disser exatamente p=quarantine ou p=reject; qualquer outra coisa, e os servidores de correio receptores a ignoram e o domínio ainda pode ser falsificado.

Como é um erro de digitação em DMARC

O DMARC tem exatamente três políticas válidas: none (apenas monitorar), quarantine e reject. As duas últimas são as que realmente impedem a falsificação de e-mail. Mas a política é apenas texto que uma pessoa digita em um registro DNS — e ao longo de 65 milhões de registros DMARC, aqui estão as coisas mais comuns que as pessoas digitaram em vez de uma política válida:

Publicado em vez de uma política válidaDomínios
(no-p-token)31.553
quarentine4.806
policy4.134
quarantaine1.321
ninguno380
non351

Aparecem dois tipos de erro. Os estruturais — um registro sem nenhum token p=, ou a palavra literal policy ou um p solto — significam que a sintaxe foi atrapalhada. Os linguísticos são mais humanos: quarentine e quarantaine são apenas erros de ortografia de “quarantine”, enquanto ninguno (espanhol para “none”) e non (francês) são proprietários escrevendo a palavra da política em seu próprio idioma. Cada um deles é inválido, e cada um deles significa a mesma coisa: nenhuma proteção, apesar de haver um registro DMARC presente.

Por que isso importa mais do que parece

Uma política escrita errada é, sem dúvida, pior do que nenhum DMARC, porque parece concluída. O registro existe; uma olhada rápida — ou uma caixa de conformidade básica — diz “DMARC: presente”. Mas os receptores rejeitam qualquer coisa que não seja uma palavra-chave de política válida, então o domínio continua totalmente falsificável. O proprietário acredita que está protegido; os atacantes sabem que não está.

Para contextualizar, apenas 10,59% de todos os domínios alcançam uma política de aplicação válida (27.639.358 domínios). Os 48.648 com uma política quebrada são uma pequena fatia dos registros DMARC que existem — mas são a falha mais evitável na segurança de e-mail: uma única palavra digitada errada entre uma empresa e uma defesa funcional.

Perguntas frequentes

Quais são as políticas DMARC válidas? Exatamente três: p=none (apenas monitorar, sem proteção), p=quarantine e p=reject. Apenas as duas últimas impedem a falsificação. Qualquer outra coisa — um erro de ortografia, outro idioma ou um p= ausente — é inválida e ignorada.

Por que “quarentine” ou “ninguno” apareceria em um registro DMARC? Erro humano. quarentine/quarantaine são erros de ortografia de “quarantine”; ninguno (espanhol) e non (francês) são proprietários escrevendo a palavra em seu próprio idioma. O DMARC só aceita as palavras-chave exatas em inglês, então todas elas falham silenciosamente.

Uma política DMARC escrita errada é pior do que nenhuma? Na prática, sim — oferece a mesma proteção zero, mas parece um controle configurado, então o problema passa despercebido.

Como sei se minha política DMARC é válida? Verifique seu domínio (abaixo) — ele lê sua política publicada real e diz se está aplicando, apenas monitorando ou se é inválida.

Verifique se sua política DMARC é realmente válida

Um registro funcional está a uma palavra digitada errada de ficar quebrado. Verifique o seu de forma privada e gratuita — você verá sua política exata e como corrigi-la.

Verifique seu domínio → · Corrigir DMARC → · Alguém pode falsificar seu domínio? → · Apenas dados agregados. Dados armazenados e processados na UE.