Defaults.Exposed

Defaults.Exposed › DMARC

DMARC: adoção, maturidade e tabelas classificativas

Dados de 2026-06-29 · Edição #1 · dados em 2026-06-29

O DMARC é o registo DNS que diz às caixas de entrada do mundo o que fazer com o correio eletrónico que finge vir do seu domínio — entregá-lo, colocá-lo em quarentena ou rejeitá-lo. Não publique nada (ou deixe-o em modo apenas de monitorização) e qualquer pessoa pode colocar o seu nome na linha "De" de um email. Esta secção mede como toda a internet realmente usa o DMARC — e dá aos resultados nomes claros e citáveis.

Censo, não amostra: 261 milhões de domínios medidos. 10.6% aplicam DMARC; 75.1% não publicam registo algum.

O modelo: o Modelo de Maturidade da Adoção de DMARC (DAMM)

Os números de adoção só significam algo em relação a um mapa. O nosso é o Modelo de Maturidade da Adoção de DMARC — DAMM: seis fases desde Desprotegido até Reforçado, um passo por fase, e um muro honesto no meio — o passo de Observação (relatórios a fluir) para Visibilidade (todos os remetentes contabilizados) que a maioria dos domínios nunca escala. Cada tabela e relatório desta secção é o DAMM aplicado ao censo.

É hora de dar um DAMM.

Os denominadores permanentes

Todas as páginas DMARC deste site usam os mesmos denominadores, para que nenhuma estatística aqui possa mudar discretamente a sua base:

Em que fase está? Seis perguntas

Comece na pergunta 0 e depois responda por ordem — o primeiro "não" é a sua fase. Não é necessário nada além de uma vista de olhos aos seus próprios registos DNS e caixa de correio — e se não conseguir responder a uma delas, não adivinhe: a verificação gratuita lê o seu DNS ao vivo e responde por si às perguntas 1, 2, 3 e 5.

0. O seu domínio envia sequer correio eletrónico?

Não → a sua jornada reduz-se a um único passo: publique SPF v=spf1 -all e DMARC p=reject hoje. Um domínio que nunca envia não tem correio legítimo a proteger — nada a observar, nenhum muro a escalar — pelo que vai diretamente para a Fase 5 — Aplicada com uma única alteração de DNS. Sim → próxima pergunta.

1. O SPF e o DKIM existem e passam para o correio que envia?

Não → está provavelmente na Fase 1 — Desprotegido. O seu próximo passo: configure SPF e DKIM para o seu correio principal e confirme que ambos autenticam e alinham — alinhar significa que o domínio que o SPF ou o DKIM valida é o mesmo domínio que uma pessoa vê na linha "De:" visível, que é a correspondência que o DMARC realmente testa. O DMARC assenta em ambos. Sim → próxima pergunta.

2. Publica um registo DMARC?

Não → está provavelmente na Fase 2 — Autenticado. O seu próximo passo: publique um registo DMARC em p=none com um endereço de relatórios rua= — um único registo DNS, nada se quebra. Sim → próxima pergunta.

3. O seu registo solicita relatórios (rua=) que alguém realmente recebe?

Não → está provavelmente preso entre as Fases 2 e 3 — publicado, mas cego. O seu próximo passo: adicione um endereço rua= (uma única edição de DNS) para que os relatórios agregados fluam — um registo que não está a observar não consegue encontrar os remetentes que precisará de alinhar. Sim → próxima pergunta.

4. Identificou todos os remetentes legítimos do correio do seu domínio — e cada um deles alinha?

Não → está provavelmente na Fase 3 — Observação, diante do muro onde a maioria dos domínios estagna. O seu próximo passo: inventarie todos os serviços que enviam em nome do seu domínio (a ferramenta de newsletter, o sistema de faturação, o CRM) e alinhe cada um deles. Esta é também a fase em que os proprietários mais frequentemente recorrem a ajuda — um fornecedor de TI ou um serviço de monitorização de DMARC pode fazer o trabalho de identificação de remetentes; as fases mantêm-se as mesmas de qualquer forma. Sim → próxima pergunta.

5. A sua política é p=quarantine ou p=reject?

Não → está provavelmente na Fase 4 — Visibilidade, e pode aplicar em segurança. O seu próximo passo: eleve a política por etapas — none → quarantine → reject. Sim → está na Fase 5 — Aplicada. O seu próximo passo: a camada de reforço — cobertura de np=, MTA-STS e TLS-RPT — mais monitorização contínua. Isso é a Fase 6.

Todas as cinco com sim, reforço implementado e alguém ainda a acompanhar os relatórios? Isso é a Fase 6 — Reforçado. O passo aí é manter-se: surgem novos remetentes, os fornecedores mudam de IP, as configurações degradam-se. Não tem a certeza sobre uma resposta? Faça a verificação gratuita — resolve as perguntas 1, 2, 3 e 5 a partir do seu DNS ao vivo em menos de um minuto, de forma privada.

As tabelas classificativas e o relatório mensal

Análises aprofundadas

Quer saber onde o seu domínio se posiciona? Faça a análise gratuita → — privado; só mostramos a nota de um domínio ao seu proprietário verificado.

Como atribuímos as notas → · Apenas dados agregados; nunca publicamos a nota de um domínio individual.