Defaults.Exposed › Relatórios
Os 6 Estágios da Maturidade do DMARC
Publicado 2026-07-03 · atualizado 2026-07-03
Valores referentes a 2026-06-29 · metodologia v7. Este é um modelo de referência sustentado por um censo recorrente; cada edição volta a medir a mesma população, de modo a que os números possam ser acompanhados ao longo do tempo. Todos os valores são agregados — nunca publicamos a classificação de uma empresa individual.
Publicar DMARC não é o mesmo que estar protegido
Entre 261 milhões de domínios medidos, 24,89% publicam um registo DMARC — mas apenas 10,59% aplicam um. Dito de outra forma: dos cerca de 65 milhões de domínios que iniciaram a jornada do DMARC, 57,5% nunca chegaram à parte que bloqueia seja o que for. Publicaram um registo, apontaram os relatórios para algum lado e estagnaram. Estudos independentes de menor dimensão encontram o mesmo padrão — um relatório da indústria de 2026 situou-o em ~9% a aplicar, entre os ~938.000 domínios que examinou.
A adoção já não é o problema. A proteção é. E os domínios estagnam por uma razão estrutural: os mapas que toda a gente usa ficam a meio. Terminam cedo demais, e nenhum deles dá um nome próprio ao passo mais difícil.
Onde os mapas existentes ficam a meio
Os modelos pelos quais a indústria se orienta estavam certos para a sua época e merecem uma leitura justa:
- O modelo de implementação em cinco fases popularizado pela dmarcian (cujo fundador coautorou o próprio DMARC) percorre implementar → monitorizar → apertar a política — e trata chegar a
p=rejectcomo o destino. - A progressão do RFC —
p=none → quarantine → reject— corresponde a três níveis de aplicação, não a um modelo de maturidade. Nada diz sobre pré-requisitos e nada diz sobre o que vem depois. - “Gatinhar, andar, correr” é um modelo popular: certo na direção, vazio na estrutura.
Os três partilham dois limites. Primeiro, param em p=reject — como se a aplicação fosse a linha de chegada. Não é: a própria norma avançou (o DMARCbis — RFC 9989, 9990 e 9991 — foi publicado em maio de 2026, substituindo o original RFC 7489), e a aplicação nada faz pela segurança de transporte ou pela confiança na marca. Segundo — e é este que efetivamente deixa os domínios encalhados — nenhum deles faz de “cada remetente contabilizado” um estágio com nome. Para ser justo, os guias de implementação chegam a mencionar o trabalho: o modelo da dmarcian inclui a identificação de fontes como uma tarefa dentro da sua fase de monitorização. Mas uma tarefa enterrada dentro de uma fase é exatamente assim que acaba por ser tratada — como parte da “monitorização”, em vez de como a conquista distinta que é. Ver os relatórios a chegar parece progresso. Ainda não é. A maior razão pela qual os domínios ficam em p=none durante anos é que conseguem ver o seu correio, mas não o contabilizaram — por isso não se atrevem a aplicar, com receio de quebrar algo real.
Um modelo útil precisa de dar a esse passo um nome próprio e critérios de saída próprios. Este dá. Chamamos-lhe o Modelo de Maturidade de Adoção do DMARC — DAMM: seis estágios, um passo cada, e um nome que pode citar.
O modelo
Estágio 1 — Desprotegido. Nenhum registo DMARC — ou SPF e DKIM incompletos por baixo dele. Qualquer pessoa pode enviar email em nome do seu domínio, e nada, em lado nenhum, está a verificar. O passo: configure SPF e DKIM para o seu correio principal e confirme que autenticam e alinham. O DMARC assenta em ambos; não pode saltar este alicerce.
Estágio 2 — Autenticado. SPF e DKIM estão corretos e a alinhar para o seu fluxo de correio principal. O seu correio legítimo prova a sua origem — mas nada diz às caixas de entrada do mundo o que fazer com o correio que não a prova. O passo: publique um registo DMARC em p=none com um endereço de relatórios rua=.
Estágio 3 — Observação. O DMARC está publicado, os relatórios agregados estão a fluir e, pela primeira vez, consegue ver quem está a enviar em nome do seu domínio. Nada é bloqueado. A maioria das ferramentas chama a este estágio “visibilidade” — nós, deliberadamente, não o fazemos, porque ver relatórios e compreendê-los são conquistas diferentes. O passo: identifique cada fonte legítima que envia em nome do seu domínio e alinhe cada uma delas.
Estágio 4 — Visibilidade. Cada remetente legítimo está identificado e alinhado — a plataforma de newsletters, o sistema de faturação, o CRM, aquilo que o marketing subscreveu na primavera passada. Conhece o seu correio. Nada de legítimo se quebrará se aplicar. Este é o estágio que os mapas antigos saltam, e o muro que a maioria dos domínios nunca escala. O passo: eleve a política — p=none → p=quarantine (o modo de teste t=y do DMARCbis ajuda aqui) → p=reject.
Estágio 5 — Aplicado. p=quarantine ou p=reject está ativo, com os subdomínios cobertos por uma política sp= explícita. O correio que falha a autenticação é agora efetivamente posto em quarentena ou recusado nos recetores participantes — o que inclui todos os principais fornecedores de caixa de correio — pelo que a falsificação direta do seu domínio exato deixa de chegar aos locais onde o DMARC é verificado. O passo: acrescente a camada de reforço — a cobertura de np= e de percurso na árvore (tree-walk) do DMARCbis, MTA-STS e TLS-RPT para o transporte, BIMI se a apresentação da marca lhe importar.
Estágio 6 — Reforçado e sustentado. Aplicação mais a stack moderna: cobertura de subdomínios inexistentes (np=) do DMARCbis, MTA-STS e TLS-RPT a proteger o correio em trânsito, BIMI onde compensa — e, crucialmente, monitorização contínua para deteção de desvios e novos remetentes. Isto não é um selo; é uma disciplina. Surgem novos remetentes, os fornecedores mudam de IPs, as configurações degradam-se. O passo: mantenha-se aqui.
A via do sem-correio. Medido em todo o inventário de domínios — incluindo domínios mortos — 51,5% dos domínios não têm qualquer serviço de correio, e para eles a jornada reduz-se a um único passo. Um domínio que nunca envia deve publicar imediatamente SPF
-alle DMARCp=reject: não há correio legítimo a proteger, portanto não há nada a observar nem muro a escalar. Domínios de marca estacionados e adormecidos vão diretos para Aplicado numa única alteração de DNS — e ao fazê-lo fecham um dos vetores de personificação mais comuns que existem.
O muro: Estágio 3 → 4
Todas as outras transições neste modelo são uma alteração de DNS. Esta é trabalho de investigação — e é onde os meses morrem.
Passar de Observação para Visibilidade significa atribuir cada fonte de envio dos seus relatórios a um sistema real: qual ESP, qual CRM, o relay de correio do escritório de que região, a ferramenta SaaS que alguém ligou em 2023 e esqueceu. Significa encontrar os remetentes de shadow-IT que ninguém documentou. Significa corrigir o alinhamento ESP a ESP, porque cada plataforma tem a sua própria forma de autenticar em seu nome — algumas delas erradas por definição.
Saltar o muro foi como o DMARC ganhou a sua reputação assustadora. Aplique a partir de Observação — sem Visibilidade — e irá bloquear algo real: uma corrida de faturas, um fluxo de reposição de palavra-passe, a newsletter do CEO. Depois vem a reversão em pânico para p=none, a análise interna do sucedido e a lição que toda a gente aprende erradamente: “tentámos o DMARC e ele quebrou o email.” A maioria das histórias de terror do DMARC é exatamente isto — aplicação tentada um estágio cedo demais. O muro não é uma razão para parar no Estágio 3. É a razão pela qual o Estágio 4 existe.
Este é também o estágio em que os proprietários mais frequentemente recorrem a ajuda — um fornecedor de TI ou um serviço de monitorização de DMARC pode fazer o trabalho de identificação de remetentes; os estágios mantêm-se os mesmos de qualquer forma.
A parte que toda a gente esquece: Estágio 5 → 6
Chegar a p=reject trava a falsificação direta do seu domínio na linha De:, nos recetores que a verificam. Isso é necessário — e não é suficiente. Vale também a pena nomear o que a aplicação nunca cobriu: domínios sósia (yourc0mpany.com) e a personificação por nome de apresentação ficam inteiramente fora do alcance do DMARC, pelo que a aplicação fecha a porta do domínio exato e deixa as vizinhas à mercê da vigilância e de outros controlos.
A aplicação nada faz pelo transporte: sem MTA-STS e TLS-RPT, o correio para o seu domínio pode ainda ser rebaixado ou intercetado em trânsito. Nada faz pelo reconhecimento da marca: o BIMI — o seu logótipo, exibido na caixa de entrada — é um sinal de confiança, não um controlo de segurança, e é honesto tratá-lo como tal (exige também um certificado pago, razão pela qual fica em último e não em primeiro). E o simples p=reject é anterior ao DMARCbis: a tag np= e o percurso na árvore (tree-walk) dos novos RFCs fecham a falha do subdomínio inexistente que as implementações mais antigas deixam aberta.
Um domínio em p=reject sem nada do acima está protegido contra o ataque mais comum e despreparado para os restantes. Isso é uma distinção real, e merece um estágio próprio.
O seu estágio é mensurável
Este modelo não é apenas um diagrama — o estágio de um domínio é calculável, o que é o que o separa de um póster numa parede.
Os estágios 3 a 6 podem ser derivados dos próprios dados de relatórios DMARC de um domínio, somados aos seus registos publicados: que política está ativa, se os relatórios fluem e se cada remetente observado alinha. Os estágios 1 e 2 avaliam-se com uma verificação de DNS ao vivo, uma vez que ainda não existem relatórios. Um limite honesto em cada direção: o Estágio 4 confirma-se por evidência ao longo do tempo — “cada remetente observado alinha ao longo de dias de relatórios suficientes” é uma boa aproximação, mas nenhum relatório pode revelar o remetente que ainda não ligou. E a camada de reforço do Estágio 6 — MTA-STS, TLS-RPT, BIMI — é invisível nos relatórios DMARC; é preciso uma verificação de DNS para a ver. Um domínio pode parecer “terminado” pelos seus relatórios e ainda carregar uma lacuna oculta de Estágio 5 → 6. Este é o modelo contra o qual a nossa própria análise de relatórios mede, obstáculos incluídos.
Um exemplo trabalhado
Uma empresa de média dimensão usa o Microsoft 365 por trás de uma gateway de filtragem de correio. O SPF termina em -all, o DKIM está configurado, o DMARC está publicado em p=none e os relatórios fluem para uma ferramenta de monitorização. Nos mapas antigos, isto parece quase terminado. Neste, é o Estágio 3 — Observação: a configuração difícil está completa, e o domínio estagnou exatamente no muro — visível, não protegido. O passo de maior valor é 3 → 4 → 5: confirmar que os (provavelmente poucos) remetentes legítimos alinham todos e, depois, elevar a política por etapas. Para um domínio com esta forma, isso costuma ser semanas de atenção, não meses — o muro é mais alto para quem nunca o mapeia.
Encontre o seu estágio
A pergunta a aposentar é “temos DMARC?” — 24,89% dos domínios podem dizer que sim, enquanto 57,5% desses continuam falsificáveis. A melhor pergunta é “em que estágio estamos e qual é o único passo para o seguinte?” Cada domínio na internet está hoje exatamente num destes seis estágios. Saber qual transforma uma ansiedade numa lista de tarefas.
Perguntas frequentes
O que é o DAMM? O Modelo de Maturidade de Adoção do DMARC — o modelo de seis estágios desta página: Desprotegido, Autenticado, Observação, Visibilidade, Aplicado, Reforçado. O estágio de um domínio é mensurável a partir do seu DNS e dos seus dados de relatórios DMARC, o que é o que o separa de um póster numa parede.
Então publicar p=none não vale nada? Não — é o Estágio 3, e o Estágio 3 é estrutural: os relatórios são a forma de encontrar cada remetente antes de aplicar. Só se torna um problema quando é tratado como destino. Veja porque p=none não é proteção.
Posso saltar diretamente para p=reject? Se o seu domínio não envia correio — sim, hoje, e deve fazê-lo. Se envia correio — não: aplicar sem Visibilidade (Estágio 4) é como o correio legítimo se quebra e como acontecem as reversões. Os estágios são o caminho seguro, não uma cerimónia.
Preciso de BIMI para estar “terminado”? Não. O BIMI é a camada de apresentação de marca do Estágio 6 e o elemento mais opcional do modelo — MTA-STS, TLS-RPT e a cobertura de np= do DMARCbis são as partes que reforçam materialmente um domínio. Se o custo do certificado não se justifica para si, salte-o e mantenha o resto do Estágio 6.
Onde encaixam o SPF e o DKIM? Por baixo de tudo — são os Estágios 1 → 2, e o SPF sem DMARC protege menos do que a maioria dos proprietários assume. Desde 2024, os principais recetores também passaram a exigir autenticação diretamente aos remetentes em massa.
Verifique onde está o seu próprio domínio
Estes estágios são padrões populacionais — o seu domínio está exatamente num deles, e o próximo passo é conhecível. Pode verificar de forma privada e gratuita e ver quais das 34 verificações passa e como corrigir as que não passa.
Verifique o seu domínio → · Como classificámos a internet → · O pilar DMARC → · Apenas dados agregados. Dados armazenados e processados na UE.