Defaults.Exposed

Defaults.Exposed › Relatórios

Publicar SPF Não Chega: A Falsa Sensação de Segurança do E-mail (2026)

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados agregados do censo que combinam verificações por domínio em 261 milhões de domínios avaliados. «Em imposição» = uma política DMARC de quarantine ou reject. Veja como avaliamos.

O lugar mais perigoso na segurança de e-mail é sentir-se protegido. 32,4% dos domínios publicam SPF mas não têm DMARC nenhum — e 45,7% têm SPF que não é respaldado por imposição. Esses proprietários fizeram algo, viram «SPF: configurado» e pararam. Mas o SPF sozinho não impede ninguém de falsificar o seu endereço «De» visível — só o DMARC imposto faz isso. Em 2026-06-29, apenas 3,87% dos domínios estão totalmente protegidos no e-mail.

A lacuna entre «configurado» e «protegido»

O SPF verifica quais servidores podem enviar em seu nome. Ele não governa o endereço «De» que uma pessoa realmente vê, nem diz aos destinatários o que fazer em caso de falha. Esse é o trabalho do DMARC. Portanto, SPF sem uma política DMARC em imposição é uma fechadura sem porta atrás:

EstadoQuota de domíniosRealmente protegido?
SPF publicado, sem nenhum registo DMARC32,4%Não
SPF publicado, DMARC sem imposição45,7%Não
Totalmente protegido no e-mail (SPF + DMARC imposto)3,87%Sim

Leia a linha do meio de novo: 45,7% de todos os domínios têm SPF mas sem imposição — quase a maioria da internet na zona da falsa segurança. Para os fins de um atacante, são falsificáveis — e 89,4% dos domínios no total são.

A pior versão: chega correio, sem guarda à porta

Fica mais grave para domínios que realmente recebem e-mail. 42,7% dos domínios aceitam correio (têm registos MX) mas não têm nenhuma autenticação de e-mail funcional — sem imposição de SPF, sem DMARC. São domínios ativos e em uso cujos proprietários enviam e recebem todos os dias, totalmente passíveis de personificação. É justamente essa atividade que os torna alvos atrativos para fraude de faturas e golpes de fornecedores.

Por que «temos SPF» se tornou a armadilha

O SPF é mais antigo, mais simples e a primeira coisa que a maioria dos guias de configuração menciona — então é a caixa que é marcada. O DMARC veio depois, soa mais avançado e exige uma progressão deliberada até a imposição. O resultado é uma população enorme que adotou o passo um e nunca deu o passo dois, e depois continuou a acreditar que o trabalho estava feito. O censo torna visível pela primeira vez a escala desse equívoco: 32,4% com SPF e nenhum DMARC.

Como ficar realmente protegido

  1. Mantenha o seu SPF, mas não confie só nele. (Corrigir SPF.)
  2. Adicione DKIM para que o seu correio seja assinado. (Corrigir DKIM.)
  3. Publique DMARC e leve-o à imposição (p=nonequarantinereject). Este é o passo que converte «configurado» em «protegido». (Corrigir DMARC.)

Perguntas frequentes

O SPF é suficiente para impedir a falsificação de e-mail? Não. O SPF não protege o endereço «De» visível nem diz aos destinatários para rejeitarem falsificações — só uma política DMARC em imposição faz isso. 45,7% dos domínios têm SPF sem essa imposição.

Tenho um registo SPF — estou protegido? Não por si só. Você só está protegido quando o SPF (e idealmente o DKIM) é respaldado por DMARC definido como quarantine ou reject. Apenas 3,87% dos domínios chegam lá.

Que quota de domínios ainda pode ser personificada? 89,4% — porque lhes falta DMARC em imposição, publiquem ou não SPF.

Por que ter correio (MX) sem autenticação é especialmente arriscado? 42,7% dos domínios enviam e recebem e-mail ativamente mas não têm autenticação funcional — domínios ativos e confiáveis que qualquer um pode falsificar, exatamente o que os fraudadores procuram.

Verifique se está realmente protegido

«Temos SPF» não é o mesmo que protegido. Verifique o seu domínio gratuitamente e em privado — veja se o seu e-mail ainda pode ser falsificado.

Verifique o seu domínio → · Corrigir DMARC → · A pontuação de exposição do domínio → · p=none não é proteção → · Apenas dados agregados. Dados armazenados e processados na UE.