Defaults.Exposed › Articles
O Estado da Segurança de Domínios 2026
Published 2026-06-27
Dados atualizados a 2026-06-27 · metodologia v7. Este é um relatório recorrente; cada edição volta a medir a mesma população, para que os números possam ser acompanhados ao longo do tempo. Todos os valores são agregados — nunca publicamos a nota de um negócio individual. O
.comestá totalmente avaliado (129M de domínios) e incluído nos totais abaixo.
A manchete: grande parte da internet falha na segurança básica de domínios
Medimos 261.752.302 domínios ativos em 34 verificações de segurança — autenticação de e-mail (SPF, DKIM, DMARC), TLS e certificados, cabeçalhos de segurança web, e DNS (incluindo DNSSEC). O resultado é alarmante:
- 86,3% recebem nota F — a nota mais baixa.
- Menos de 0,02% alcançam um A ou A+ — cerca de 1 em cada 4.700 domínios.
- Apenas cerca de 1 em cada 27 chega a um C ou melhor.
Isto não é a história de uns quantos sites negligenciados. É o estado por omissão da internet: as proteções que impedem que o seu e-mail seja falsificado e que os seus visitantes sejam enganados estão simplesmente desligadas na esmagadora maioria dos domínios.
Distribuição de notas (262M de domínios)
| Nota | Domínios | Proporção |
|---|---|---|
| A+ | 6.708 | 0,0% |
| A | 49.443 | 0,0% |
| B | 1.142.198 | 0,4% |
| C | 8.566.735 | 3,3% |
| D | 26.225.422 | 10,0% |
| F | 225.761.796 | 86,3% |
Varia bastante consoante o país e o TLD
A segurança de domínios varia muito de país para país e conforme a terminação do domínio. Os registos nacionais consolidados — sobretudo na Europa — tendem a proteger melhor os seus negócios, enquanto as terminações genéricas baratas e de elevado volume, populares para registos em massa, têm o pior desempenho. Mas “melhor” é relativo: mesmo as terminações mais fortes deixam ainda a maioria dos seus domínios com nota F.
Estas classificações vão mudando à medida que o censo cresce, por isso mantemo-las atualizadas em tempo real em vez de as fixar aqui:
O que isto significa para o seu negócio
Uma nota negativa não é uma pontuação abstrata. Em termos práticos, normalmente significa que uma ou mais destas situações se aplica ao seu domínio:
- O seu e-mail pode ser falsificado. Sem SPF e DMARC devidamente aplicados, um criminoso pode enviar e-mails que parecem ter vindo exatamente de si — para os seus clientes, colaboradores e fornecedores — e que chegam à caixa de entrada. É assim que funcionam as burlas de faturas falsas e de fraude ao CEO.
- O seu e-mail legítimo tem mais probabilidade de ir para o lixo. O Google e o Yahoo desconfiam cada vez mais de domínios não autenticados, pelo que os seus orçamentos e faturas genuínos acabam silenciosamente no spam.
- Vai falhar nas verificações de segurança dos outros. Os clientes maiores fazem uma análise rápida antes de assinar. “Domínio desprotegido — pode ser falsificado” basta para perder o negócio.
- O seu site pode afastar os visitantes. Um certificado em falta ou inválido mostra aos clientes uma página vermelha de “Não seguro”.
A parte animadora: a maioria destes problemas é gratuita e rápida de corrigir — geralmente bastam algumas linhas nas definições do seu domínio. O obstáculo quase nunca é o custo; é que ninguém disse ao dono que isto importava.
Como medimos
- 34 verificações, observáveis a partir do exterior — sem necessidade de aceder aos sistemas de ninguém. (Metodologia completa.)
- Passa / falha / N/A. Quando uma verificação genuinamente não pode ser determinada, é marcada como N/A e excluída — nunca conta como falha.
- Uma falha real é uma falha real. Um domínio sem SPF/DMARC recebe nota baixa porque pode genuinamente ser falsificado — não por causa da forma como contámos.
- Apenas agregado. Estes são padrões da população; a nota de um domínio individual só é mostrada ao seu dono verificado.
- Os dados são armazenados e processados dentro da UE.
(Uma edição futura acrescentará a proporção de domínios que não publicam qualquer proteção contra falsificação de e-mail, assim que esse recorte por verificação esteja concluído em toda a população.)
Veja em que pé está o seu próprio domínio
Estas são médias. O seu domínio pode ser um dos 0,02% que recebem um A — ou um dos 86,3% que não recebem. Pode verificá-lo de forma privada e gratuita, e ver exatamente quais das 34 verificações passa e como corrigir as que não passa.