Defaults.Exposed › Relatórios
Publicar SPF Não Chega: A Falsa Sensação de Segurança do E-mail (2026)
Publicado 2026-06-29
Números em 2026-06-29 · metodologia v7. Dados agregados do censo que combinam verificações por domínio em 261 milhões de domínios avaliados. «Em imposição» = uma política DMARC de
quarantineoureject. Veja como avaliamos.
O lugar mais perigoso na segurança de e-mail é sentir-se protegido. 32,4% dos domínios publicam SPF mas não têm DMARC nenhum — e 45,7% têm SPF que não é respaldado por imposição. Esses proprietários fizeram algo, viram «SPF: configurado» e pararam. Mas o SPF sozinho não impede ninguém de falsificar o seu endereço «De» visível — só o DMARC imposto faz isso. Em 2026-06-29, apenas 3,87% dos domínios estão totalmente protegidos no e-mail.
A lacuna entre «configurado» e «protegido»
O SPF verifica quais servidores podem enviar em seu nome. Ele não governa o endereço «De» que uma pessoa realmente vê, nem diz aos destinatários o que fazer em caso de falha. Esse é o trabalho do DMARC. Portanto, SPF sem uma política DMARC em imposição é uma fechadura sem porta atrás:
| Estado | Quota de domínios | Realmente protegido? |
|---|---|---|
| SPF publicado, sem nenhum registo DMARC | 32,4% | Não |
| SPF publicado, DMARC sem imposição | 45,7% | Não |
| Totalmente protegido no e-mail (SPF + DMARC imposto) | 3,87% | Sim |
Leia a linha do meio de novo: 45,7% de todos os domínios têm SPF mas sem imposição — quase a maioria da internet na zona da falsa segurança. Para os fins de um atacante, são falsificáveis — e 89,4% dos domínios no total são.
A pior versão: chega correio, sem guarda à porta
Fica mais grave para domínios que realmente recebem e-mail. 42,7% dos domínios aceitam correio (têm registos MX) mas não têm nenhuma autenticação de e-mail funcional — sem imposição de SPF, sem DMARC. São domínios ativos e em uso cujos proprietários enviam e recebem todos os dias, totalmente passíveis de personificação. É justamente essa atividade que os torna alvos atrativos para fraude de faturas e golpes de fornecedores.
Por que «temos SPF» se tornou a armadilha
O SPF é mais antigo, mais simples e a primeira coisa que a maioria dos guias de configuração menciona — então é a caixa que é marcada. O DMARC veio depois, soa mais avançado e exige uma progressão deliberada até a imposição. O resultado é uma população enorme que adotou o passo um e nunca deu o passo dois, e depois continuou a acreditar que o trabalho estava feito. O censo torna visível pela primeira vez a escala desse equívoco: 32,4% com SPF e nenhum DMARC.
Como ficar realmente protegido
- Mantenha o seu SPF, mas não confie só nele. (Corrigir SPF.)
- Adicione DKIM para que o seu correio seja assinado. (Corrigir DKIM.)
- Publique DMARC e leve-o à imposição (
p=none→quarantine→reject). Este é o passo que converte «configurado» em «protegido». (Corrigir DMARC.)
Perguntas frequentes
O SPF é suficiente para impedir a falsificação de e-mail? Não. O SPF não protege o endereço «De» visível nem diz aos destinatários para rejeitarem falsificações — só uma política DMARC em imposição faz isso. 45,7% dos domínios têm SPF sem essa imposição.
Tenho um registo SPF — estou protegido?
Não por si só. Você só está protegido quando o SPF (e idealmente o DKIM) é respaldado por DMARC definido como quarantine ou reject. Apenas 3,87% dos domínios chegam lá.
Que quota de domínios ainda pode ser personificada? 89,4% — porque lhes falta DMARC em imposição, publiquem ou não SPF.
Por que ter correio (MX) sem autenticação é especialmente arriscado? 42,7% dos domínios enviam e recebem e-mail ativamente mas não têm autenticação funcional — domínios ativos e confiáveis que qualquer um pode falsificar, exatamente o que os fraudadores procuram.
Verifique se está realmente protegido
«Temos SPF» não é o mesmo que protegido. Verifique o seu domínio gratuitamente e em privado — veja se o seu e-mail ainda pode ser falsificado.
Verifique o seu domínio → · Corrigir DMARC → · A pontuação de exposição do domínio → · p=none não é proteção → · Apenas dados agregados. Dados armazenados e processados na UE.