Defaults.Exposed › Relatórios
O Que É DMARC? p=none, quarantine e reject Explicados (2026)
Publicado 2026-07-01
Valores de 2026-06-29 · metodologia v7. Dados agregados do censo de 261 milhões de domínios avaliados. O DMARC é a política de DNS que indica aos servidores de correio recetores o que fazer com as mensagens que falham a autenticação. Ver como avaliamos.
O DMARC é a instrução que decide se um correio eletrónico forjado em seu nome é rejeitado, colocado em quarentena ou entregue normalmente. Tem três definições — none, quarantine, reject — e apenas as duas últimas o protegem de facto. Nos 261 milhões de domínios, apenas 10,59% aplicam a política. A maioria dos restantes ou não publica nada (75,11%) ou publica um registo de apenas monitorização que parece proteção mas não bloqueia nada (14,29%). Eis o que cada política faz.
O que significam as três políticas de DMARC
O DMARC associa o SPF e o DKIM ao endereço “De” visível e indica aos recetores o que fazer em caso de falha:
p=none(apenas monitorização) — “deixa passar, mas envia-me relatórios.” Útil como primeiro passo temporário para ver quem envia em seu nome. Não bloqueia falsificações. 14,29% de todos os domínios ficam aqui — a configuração incorreta mais comum, porque passa numa auditoria superficial ao mesmo tempo que deixa a porta aberta.p=quarantine— “envia o correio que falha para o spam.” Proteção real. 5,28% dos domínios usam-na.p=reject— “recusa por completo o correio que falha.” A definição mais forte. 5,31% dos domínios usam-na.
Em conjunto, quarantine e reject — as duas políticas de aplicação — cobrem apenas 10,59% dos domínios. Apenas 8,89% recolhem os relatórios agregados (rua) que indicam quem envia em seu nome.
”Publicámos o DMARC” não é o mesmo que “aplicamos o DMARC”
É esta a armadilha. Publicar um registo parece ser a linha de chegada, mas um registo p=none é um detetor de fumo sem pilha — observa, não atua. E os erros tipográficos degradam-no silenciosamente para nada: 48.648 domínios (0,07% dos registos DMARC) têm um token de política que os recetores não conseguem interpretar — erros ortográficos como quarentine ou o idioma errado — pelo que é tratado como ausência de política. Ver porque p=none não é proteção e erros de digitação no DMARC.
Como configuro o DMARC?
Faça-o por ordem — aplicar a política antes de o SPF e o DKIM estarem sólidos fará ricochetear o seu próprio correio:
- Publique primeiro o SPF e o DKIM e confirme que o seu correio legítimo passa em ambos.
- Comece em
p=nonecomrua— um registo comov=DMARC1; p=none; rua=mailto:you@yourdomain. Observe os relatórios durante algumas semanas para identificar todos os remetentes reais. - Passe para
p=quarantinee depois parap=rejectassim que os relatórios estiverem limpos. É este último passo que efetivamente impede a personificação. Ver corrigir DMARC.
Aplicação por terminação de domínio
Quanto mais alto, melhor — a proporção que efetivamente bloqueia a falsificação. Em 2026-06-29:
| Terminação de domínio | Com DMARC aplicado |
|---|---|
| .nl (Países Baixos) | 29,43% |
| .de (Alemanha) | 21,38% |
| .uk (Reino Unido) | 13,42% |
| .com | 9,50% |
| .net | 10,08% |
| .org | 10,01% |
| .xyz | 5,15% |
Mesmo a terminação grande mais forte aplica a política apenas numa minoria dos seus domínios.
Perguntas frequentes
O que é um registo DMARC?
Um registo TXT de DNS em _dmarc.yourdomain que começa por v=DMARC1, cujo valor p= indica aos recetores o que fazer com o correio que falha a autenticação: none, quarantine ou reject.
p=none é suficiente?
Não. p=none é apenas monitorização e não bloqueia nada. 14,29% dos domínios ficam por aqui e continuam suscetíveis a falsificação. Apenas quarantine ou reject o protegem.
Qual é a diferença entre quarantine e reject?
quarantine envia o correio que falha para o spam; reject recusa-o por completo. Reject é o mais forte. Em 2026-06-29, 5,28% dos domínios usam quarantine e 5,31% usam reject.
O DMARC vai bloquear o meu próprio correio eletrónico?
Só se o SPF ou o DKIM não estiverem configurados corretamente primeiro. É por isso que se começa em p=none, se observam os relatórios e se aperta a política assim que todos os seus remetentes reais passam.
O DMARC é gratuito? Sim — é um registo de DNS. O custo é o tempo para o implementar em segurança, não dinheiro.
Verifique o DMARC do seu domínio gratuitamente
Veja se a sua política de DMARC realmente aplica — de forma privada e apenas para o proprietário.
Verifique o seu domínio → · Corrigir DMARC → · Alguém pode falsificar o meu domínio? → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.