Defaults.Exposed › Relatórios
Os Poucos Totalmente Protegidos: os 3,87% que Concluíram
Publicado 2026-07-03 · atualizado 2026-07-03
Valores em 2026-06-29 · metodologia v7. Dados do censo que combinam verificações por domínio em 261 milhões de domínios classificados. “Totalmente protegido” neste artigo significa a pilha completa de autenticação de email, imposta: SPF presente, DKIM presente e uma política DMARC de
quarantineoureject. A pirâmide de exposição conta cinco proteções essenciais por domínio — SPF, DMARC imposto, DNSSEC, HTTPS, HSTS. Os valores de sobreposição aqui vêm da combinação por domínio, cujo grão de deduplicação difere marginalmente das contagens de divisão por política citadas nas páginas DAMMM (27.640.987 vs 27.639.358 domínios com imposição) — cada página cita a sua própria fonte, e as duas nunca são misturadas. Todos os valores são agregados — nunca publicamos a classificação de um negócio individual.
O que os domínios totalmente protegidos fazem de diferente: eles concluem
Apenas 3,87% dos 261 milhões de domínios classificados da internet — 10.092.481 deles — executam a pilha completa e imposta de proteção de email: SPF e DKIM implementados, DMARC em quarantine ou reject. O interessante sobre este grupo é o que ele não é. Não é um clube de equipas de segurança com orçamentos maiores — todos os controlos envolvidos são uma definição gratuita de DNS ou de servidor web. Os 3,87% não são mais inteligentes do que os outros; são sistemáticos. Trataram as proteções como uma única pilha a concluir, em vez de cinco projetos separados a iniciar, e o resto deste artigo trata do que isso parece nos dados do censo.
Para ver o quão invulgar é concluir, comece pelo ponto em que todos os outros se encontram.
A pirâmide de exposição: cinco proteções, seis andares
Pontue cada domínio em cinco proteções de boas práticas — SPF, DMARC imposto, DNSSEC, HTTPS, HSTS — um ponto cada, e a internet organiza-se numa pirâmide (a curva de exposição, vista andar a andar). Em 2026-06-29:
| Andar | Proteções implementadas | Quota de domínios | Domínios |
|---|---|---|---|
| 0 | Nenhuma — totalmente exposto | 8,8% | 23.105.485 |
| 1 | Uma (normalmente só HTTPS) | 37,2% | 97.206.153 |
| 2 | Duas (tipicamente HTTPS + SPF) | 39,7% | 103.527.371 |
| 3 | Três | 12,0% | 31.424.343 |
| 4 | Quatro | 2,1% | 5.575.826 |
| 5 | Todas as cinco — totalmente trancado | 0,09% | 247.054 |
A forma conta a história antes de qualquer número isolado o fazer. 76,9% de todos os domínios — 201 milhões — situam-se nos andares 1 e 2, possuindo exatamente as proteções que chegaram por predefinição e nada mais. O HTTPS está lá porque os hosts e as CDN o ativaram automaticamente; o SPF está lá porque o guia de integração de cada fornecedor de email começa por ele. Tudo acima do andar 2 exige que um proprietário decida — e, em cada decisão, a maior parte da internet para. Os andares 4 e 5, juntos, contêm apenas 2,2% dos domínios.
A pirâmide não é uma classificação de quem se importa. É um mapa de onde as predefinições terminam e a deliberação começa.
O funil que os 3,87% subiram
Trace passo a passo a metade de email da pilha e o mesmo padrão repete-se — cada etapa perde mais de metade dos domínios que alcançaram a anterior:
- 53,21% dos domínios publicam SPF — a etapa que todos os guias cobrem.
- 24,89% publicam qualquer registo DMARC.
- 10,59% impõem-no (
quarantineoureject). - 3,87% impõem-no com a pilha completa por baixo — SPF e DKIM ambos presentes, para que a imposição assente em autenticação completa.
Vale a pena parar naquele último corte. Dos aproximadamente 28 milhões de domínios que impõem DMARC, apenas 36,5% têm SPF e DKIM sob a política. Alguns dos restantes estão a fazer exatamente a coisa certa — um domínio que não envia email deveria estar em p=reject com um SPF -all isolado e não precisa de DKIM. Mas a lacuna também contém domínios com imposição cuja autenticação está incompleta, o que é a pilha construída do telhado para baixo. Os 3,87% definem-se pelo hábito oposto: chão antes do telhado, cada camada e, depois, a política no topo.
O SPF sozinho cobre 139 milhões de domínios e não protege quase nenhum deles — a ilustração mais direta do censo do que se ganha ao começar sem concluir.
Uma pilha, não cinco projetos
Aqui está o hábito que separa os 3,87%, e é organizacional, não técnico.
A maioria dos domínios acumula proteções da forma que a pirâmide sugere: uma de cada vez, cada uma desencadeada por um estímulo diferente — um aviso do navegador, um problema de entregabilidade, uma lista de conformidade — cada uma tratada como o seu próprio pequeno projeto com o seu próprio “concluído”. Concluído, nesse modo, significa o registo existe. É assim que a internet acaba com 201 milhões de domínios nos andares 1–2: cinco vistos verdes disponíveis, um ou dois recolhidos, jornada terminada.
Os totalmente protegidos tratam os cinco como um único sistema com uma única definição de concluído: o ataque deixa de funcionar. O email forjado é recusado, não apenas observado; as sessões não podem ser rebaixadas, porque o HSTS está fixado; as respostas não podem ser silenciosamente trocadas, onde o DNSSEC está assinado. No Modelo de Maturidade de Adoção de DMARC, essa é a mentalidade da Etapa 6 — proteção como uma disciplina que é monitorizada e mantida, não um distintivo que se conquistou uma vez. Nada nisso exige perícia que os outros 96% não tenham. Exige concluir — na ordem certa, verificando que cada camada realmente se mantém, e tratando “configurado” como o ponto intermédio e não como o destino.
O cume acima: todas as cinco juntas
Acima dos totalmente protegidos por email fica uma população muito menor: os 247.054 domínios — 0,09% — que possuem todas as cinco proteções ao mesmo tempo, DMARC, DNSSEC e HSTS implementados juntos por cima do SPF e do HTTPS. A porta é o DNSSEC: válido em apenas 1,99% dos domínios, é o mais raro dos cinco, pelo que o andar de topo da pirâmide é necessariamente minúsculo. Se o andar 5 descreve as suas ambições, a ordem continua a importar — imponha primeiro a autenticação de email (ela para os ataques que efetivamente chegam diariamente), depois fixe o transporte com HSTS e, por fim, assine a zona.
Como juntar-se aos 3,87%
Cada etapa é uma alteração de configuração, e cada uma é gratuita:
- Publique SPF listando os seus remetentes reais, terminando em
-all. (Corrigir SPF →) - Ative DKIM com todos os serviços que enviam em seu nome — a maioria dos fornecedores torna-o um simples interruptor. (Corrigir DKIM →)
- Publique DMARC com relatórios, observe e depois imponha —
p=nonemaisrua=primeiro, identifique cada remetente legítimo, depois passe paraquarantineereject. Este é o muro que a maioria dos domínios nunca escala, e é trabalho investigativo, não dinheiro. (Corrigir DMARC →) - Depois a camada web: HSTS no seu site HTTPS, e DNSSEC se o seu fornecedor de DNS gerir a assinatura por si.
Um domínio que não envia email pode saltar inteiramente a fase de observação: SPF -all e p=reject hoje, uma alteração de DNS, direto pelo muro.
Perguntas frequentes
Como é um domínio totalmente protegido? SPF e DKIM implementados e uma política DMARC de quarantine ou reject por cima — a pilha completa de autenticação de email, imposta. 10.092.481 domínios (3,87%) atingem essa marca. A versão mais rigorosa acrescenta DNSSEC, HTTPS e HSTS: todas as cinco juntas são os 0,09% da pirâmide.
Quantos domínios têm DMARC, DNSSEC e HSTS implementados juntos? O censo publica a pontuação de cinco proteções em vez de cada tabulação cruzada par a par, pelo que a resposta honesta é um limite: pelo menos os 247.054 domínios que possuem todas as cinco têm esses três juntos, e no máximo 2,2% dos domínios (andares 4–5) poderiam tê-los. De qualquer modo: bem menos de um em quarenta.
A pilha completa é cara? Não. SPF, DKIM, DMARC, HSTS e DNSSEC são todos configuração — registos de DNS e cabeçalhos de servidor, sem licenças. Os custos reais são atenção e sequência: o trabalho de identificação de remetentes antes da imposição de DMARC é a única etapa que exige esforço sustentado, e é aquela em frente à qual a maioria dos domínios estagna.
Qual proteção deve vir primeiro? A autenticação de email imposta, porque a personificação de email é o ataque que os negócios comuns efetivamente enfrentam. HTTPS quase de certeza já tem; HSTS é um seguimento de uma linha; DNSSEC por último, e só através de um fornecedor que gere a assinatura. Subir andar a andar bate iniciar cinco projetos de uma só vez — e é precisamente essa a questão.
Verifique quantas das cinco possui
A lacuna entre os 76,9% nos andares 1–2 e os 3,87% que concluíram não é talento nem orçamento — é uma sequência, e cada etapa dela é gratuita. Pode verificar de forma privada e gratuita, e ver quais das 34 verificações passa e como corrigir as que não passa.
Verifique o seu domínio → · As 6 etapas da maturidade DMARC → · O pilar DMARC → · Apenas dados agregados. Dados armazenados e processados na UE.