Defaults.Exposed › DMARC
DMARC: adoção, maturidade e tabelas classificativas
Dados de 2026-06-29 · Edição #1 · dados em 2026-06-29
O DMARC é o registo DNS que diz às caixas de entrada do mundo o que fazer com o correio eletrónico que finge vir do seu domínio — entregá-lo, colocá-lo em quarentena ou rejeitá-lo. Não publique nada (ou deixe-o em modo apenas de monitorização) e qualquer pessoa pode colocar o seu nome na linha "De" de um email. Esta secção mede como toda a internet realmente usa o DMARC — e dá aos resultados nomes claros e citáveis.
Censo, não amostra: 261 milhões de domínios medidos. 10.6% aplicam DMARC; 75.1% não publicam registo algum.
O modelo: o Modelo de Maturidade da Adoção de DMARC (DAMM)
Os números de adoção só significam algo em relação a um mapa. O nosso é o Modelo de Maturidade da Adoção de DMARC — DAMM: seis fases desde Desprotegido até Reforçado, um passo por fase, e um muro honesto no meio — o passo de Observação (relatórios a fluir) para Visibilidade (todos os remetentes contabilizados) que a maioria dos domínios nunca escala. Cada tabela e relatório desta secção é o DAMM aplicado ao censo.
É hora de dar um DAMM.
Os denominadores permanentes
Todas as páginas DMARC deste site usam os mesmos denominadores, para que nenhuma estatística aqui possa mudar discretamente a sua base:
- 65 milhões de domínios publicam um registo DMARC — 24.9% dos 261 milhões de domínios avaliados.
- 27.6 milhões aplicam (p=quarantine ou p=reject) — 42.5% dos registos, 10.6% de todos os domínios avaliados.
- Valores em 2026-06-29 (edição #1); atualizados mensalmente com o censo.
Em que fase está? Seis perguntas
Comece na pergunta 0 e depois responda por ordem — o primeiro "não" é a sua fase. Não é necessário nada além de uma vista de olhos aos seus próprios registos DNS e caixa de correio — e se não conseguir responder a uma delas, não adivinhe: a verificação gratuita lê o seu DNS ao vivo e responde por si às perguntas 1, 2, 3 e 5.
0. O seu domínio envia sequer correio eletrónico?
Não → a sua jornada reduz-se a um único passo: publique SPF v=spf1 -all e DMARC p=reject hoje. Um domínio que nunca envia não tem correio legítimo a proteger — nada a observar, nenhum muro a escalar — pelo que vai diretamente para a Fase 5 — Aplicada com uma única alteração de DNS. Sim → próxima pergunta.
1. O SPF e o DKIM existem e passam para o correio que envia?
Não → está provavelmente na Fase 1 — Desprotegido. O seu próximo passo: configure SPF e DKIM para o seu correio principal e confirme que ambos autenticam e alinham — alinhar significa que o domínio que o SPF ou o DKIM valida é o mesmo domínio que uma pessoa vê na linha "De:" visível, que é a correspondência que o DMARC realmente testa. O DMARC assenta em ambos. Sim → próxima pergunta.
2. Publica um registo DMARC?
Não → está provavelmente na Fase 2 — Autenticado. O seu próximo passo: publique um registo DMARC em p=none com um endereço de relatórios rua= — um único registo DNS, nada se quebra. Sim → próxima pergunta.
3. O seu registo solicita relatórios (rua=) que alguém realmente recebe?
Não → está provavelmente preso entre as Fases 2 e 3 — publicado, mas cego. O seu próximo passo: adicione um endereço rua= (uma única edição de DNS) para que os relatórios agregados fluam — um registo que não está a observar não consegue encontrar os remetentes que precisará de alinhar. Sim → próxima pergunta.
4. Identificou todos os remetentes legítimos do correio do seu domínio — e cada um deles alinha?
Não → está provavelmente na Fase 3 — Observação, diante do muro onde a maioria dos domínios estagna. O seu próximo passo: inventarie todos os serviços que enviam em nome do seu domínio (a ferramenta de newsletter, o sistema de faturação, o CRM) e alinhe cada um deles. Esta é também a fase em que os proprietários mais frequentemente recorrem a ajuda — um fornecedor de TI ou um serviço de monitorização de DMARC pode fazer o trabalho de identificação de remetentes; as fases mantêm-se as mesmas de qualquer forma. Sim → próxima pergunta.
5. A sua política é p=quarantine ou p=reject?
Não → está provavelmente na Fase 4 — Visibilidade, e pode aplicar em segurança. O seu próximo passo: eleve a política por etapas — none → quarantine → reject. Sim → está na Fase 5 — Aplicada. O seu próximo passo: a camada de reforço — cobertura de np=, MTA-STS e TLS-RPT — mais monitorização contínua. Isso é a Fase 6.
Todas as cinco com sim, reforço implementado e alguém ainda a acompanhar os relatórios? Isso é a Fase 6 — Reforçado. O passo aí é manter-se: surgem novos remetentes, os fornecedores mudam de IP, as configurações degradam-se. Não tem a certeza sobre uma resposta? Faça a verificação gratuita — resolve as perguntas 1, 2, 3 e 5 a partir do seu DNS ao vivo em menos de um minuto, de forma privada.
As tabelas classificativas e o relatório mensal
- Maturidade DMARC por TLD
155 terminações de domínio ordenadas pela Pontuação de Maturidade — os líderes, os retardatários, e a regra de adesão congelada que mantém a classificação honesta. - Maturidade DMARC por país
68 países ordenados pelas suas terminações nacionais de domínio — quem aplica, quem observa, quem não publica nada. - DAMMM — o relatório de adoção de DMARC, mensal
A Matriz de Maturidade da Adoção de DMARC — Mensal: fases × cortes populacionais, Vigília do Muro, Vigília Cega. A edição #1 é a referência.
Análises aprofundadas
- As 6 fases da maturidade DMARC — o próprio modelo
- A Publicar às Cegas — a maioria dos registos DMARC não solicita relatórios
- O SPF não é suficiente — a contagem de domínios que dependem apenas do SPF
- Os Poucos Totalmente Protegidos — o que os domínios que terminaram fazem de diferente
Quer saber onde o seu domínio se posiciona? Faça a análise gratuita → — privado; só mostramos a nota de um domínio ao seu proprietário verificado.
Como atribuímos as notas → · Apenas dados agregados; nunca publicamos a nota de um domínio individual.