Defaults.Exposed

Defaults.Exposed › Relatórios

O Que É DMARC? p=none, quarantine e reject Explicados (2026)

Publicado 2026-07-01

Valores de 2026-06-29 · metodologia v7. Dados agregados do censo de 261 milhões de domínios avaliados. O DMARC é a política de DNS que indica aos servidores de correio recetores o que fazer com as mensagens que falham a autenticação. Ver como avaliamos.

O DMARC é a instrução que decide se um correio eletrónico forjado em seu nome é rejeitado, colocado em quarentena ou entregue normalmente. Tem três definições — none, quarantine, reject — e apenas as duas últimas o protegem de facto. Nos 261 milhões de domínios, apenas 10,59% aplicam a política. A maioria dos restantes ou não publica nada (75,11%) ou publica um registo de apenas monitorização que parece proteção mas não bloqueia nada (14,29%). Eis o que cada política faz.

O que significam as três políticas de DMARC

O DMARC associa o SPF e o DKIM ao endereço “De” visível e indica aos recetores o que fazer em caso de falha:

Em conjunto, quarantine e reject — as duas políticas de aplicação — cobrem apenas 10,59% dos domínios. Apenas 8,89% recolhem os relatórios agregados (rua) que indicam quem envia em seu nome.

”Publicámos o DMARC” não é o mesmo que “aplicamos o DMARC”

É esta a armadilha. Publicar um registo parece ser a linha de chegada, mas um registo p=none é um detetor de fumo sem pilha — observa, não atua. E os erros tipográficos degradam-no silenciosamente para nada: 48.648 domínios (0,07% dos registos DMARC) têm um token de política que os recetores não conseguem interpretar — erros ortográficos como quarentine ou o idioma errado — pelo que é tratado como ausência de política. Ver porque p=none não é proteção e erros de digitação no DMARC.

Como configuro o DMARC?

Faça-o por ordem — aplicar a política antes de o SPF e o DKIM estarem sólidos fará ricochetear o seu próprio correio:

  1. Publique primeiro o SPF e o DKIM e confirme que o seu correio legítimo passa em ambos.
  2. Comece em p=none com rua — um registo como v=DMARC1; p=none; rua=mailto:you@yourdomain. Observe os relatórios durante algumas semanas para identificar todos os remetentes reais.
  3. Passe para p=quarantine e depois para p=reject assim que os relatórios estiverem limpos. É este último passo que efetivamente impede a personificação. Ver corrigir DMARC.

Aplicação por terminação de domínio

Quanto mais alto, melhor — a proporção que efetivamente bloqueia a falsificação. Em 2026-06-29:

Terminação de domínioCom DMARC aplicado
.nl (Países Baixos)29,43%
.de (Alemanha)21,38%
.uk (Reino Unido)13,42%
.com9,50%
.net10,08%
.org10,01%
.xyz5,15%

Mesmo a terminação grande mais forte aplica a política apenas numa minoria dos seus domínios.

Perguntas frequentes

O que é um registo DMARC? Um registo TXT de DNS em _dmarc.yourdomain que começa por v=DMARC1, cujo valor p= indica aos recetores o que fazer com o correio que falha a autenticação: none, quarantine ou reject.

p=none é suficiente? Não. p=none é apenas monitorização e não bloqueia nada. 14,29% dos domínios ficam por aqui e continuam suscetíveis a falsificação. Apenas quarantine ou reject o protegem.

Qual é a diferença entre quarantine e reject? quarantine envia o correio que falha para o spam; reject recusa-o por completo. Reject é o mais forte. Em 2026-06-29, 5,28% dos domínios usam quarantine e 5,31% usam reject.

O DMARC vai bloquear o meu próprio correio eletrónico? Só se o SPF ou o DKIM não estiverem configurados corretamente primeiro. É por isso que se começa em p=none, se observam os relatórios e se aperta a política assim que todos os seus remetentes reais passam.

O DMARC é gratuito? Sim — é um registo de DNS. O custo é o tempo para o implementar em segurança, não dinheiro.

Verifique o DMARC do seu domínio gratuitamente

Veja se a sua política de DMARC realmente aplica — de forma privada e apenas para o proprietário.

Verifique o seu domínio → · Corrigir DMARC → · Alguém pode falsificar o meu domínio? → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.