Defaults.Exposed

Defaults.ExposedCorreçõesGuides

Alguém Está a Enviar Emails a Partir do Seu Domínio: O Guia de Resposta de Emergência (2026)

Publicado 2026-07-08

Números a 2026-06-29 · metodologia v7. Dados agregados do censo de 261 milhões de domínios classificados. Veja como classificamos.

Primeiro verifique se os emails falsos usam o seu domínio exato ou um domínio semelhante, porque as correções são completamente diferentes. A falsificação de domínio exato pode ser desligada no DNS — e a maioria dos domínios ainda não o fez: 89,41% não têm política DMARC aplicada, e 46,4% não publicam SPF nenhum, segundo o censo do Defaults.Exposed de 261.086.232 domínios classificados.

Isto é uma lista de verificação de incidente: primeira hora — confirme o que está a acontecer sem o piorar; primeiro dia — feche a porta aberta, ou comece a remoção se a porta não for sua; primeira semana — monitorize, avise quem pode ser afetado, aplique. Só está a pensar se isto poderia acontecer? Comece por alguém pode falsificar o meu domínio? — esta página é para quando já está a acontecer.

Primeiro: é mesmo o seu domínio, ou uma cópia?

Consiga um dos emails falsos e leia o endereço do remetente carácter a carácter. Tudo o que se segue depende disto:

O que o endereço From mostraO que está a acontecerO seu caminho
[email protected] — o seu domínio, escrito exatamente certoFalsificação: o servidor de um estranho está a forjar o seu domínio na linha From. Os seus sistemas NÃO estão pirateados.Correção de DNS — SPF, DKIM, DMARC aplicado. Caminho 1.
[email protected], asuaempresa-faturacao.com, asuaempresa.co — parecido, mas não é seuUm domínio semelhante que outra pessoa registou. O seu DNS nunca é consultado.Remoção + avisos. Caminho 2.
O seu endereço exato, e as mensagens estão na sua própria pasta Enviados ou respondem a conversas reaisConta comprometida — alguém está dentro de uma caixa de correio real. Um incidente diferente.Mude a palavra-passe, revogue sessões, ative a autenticação de dois fatores, verifique regras de reencaminhamento — antes de mais nada.

Dados a 2026-06-29.

A linha a negrito é a mais comum e a mais corrigível. O protocolo base do email nunca verificou a linha From — qualquer um pode escrever lá o seu domínio — por isso a correção é publicar registos DNS que permitem aos recetores verificar por si próprios. Os números incómodos do censo: 121.145.609 de 261.086.232 domínios classificados (46,4%) não publicam registo SPF nenhum, e 36.014 dos 138.927.207 domínios que publicam SPF terminam-no em +all — literalmente a autorizar toda a internet a enviar como eles (dados a 2026-06-29).

A primeira hora: confirme, não reaja

  1. Execute a verificação gratuita em defaults.exposed. Trinta segundos, sem registo. Diz-lhe se o seu domínio está atualmente vulnerável a falsificação — SPF presente e estrito ou não, DMARC aplicado ou não — antes de tocar no DNS.
  2. Não responda à falsificação, não clique em nada nela, e não envie ainda um email em massa aos seus contactos. Um alerta em pânico do tipo “ignorem emails nossos!” enviado a partir do mesmo domínio lê-se exatamente como o esquema. Os avisos vêm depois, dirigidos e fora de banda.
  3. Recolha uma amostra completa com cabeçalhos completos. Peça a um destinatário para reencaminhar a falsificação como anexo (Gmail: “Show original” → descarregar; Outlook: “View message source”). Uma captura de ecrã da linha From não chega — os cabeçalhos são a evidência para tudo o que se segue.
  4. Leia o veredito que o servidor recetor já alcançou. Nos cabeçalhos, encontre Authentication-Results:dmarc=fail contra o seu domínio exato confirma a falsificação do seu domínio; um domínio semelhante em header.from= confirma o caminho 2. Uma subtileza: os recetores avaliam o SPF contra o domínio do Return-Path (o RFC5321.MailFrom, o endereço de devolução), não o cabeçalho From que o seu destinatário vê — um email falsificado pode até mostrar spf=pass para o domínio do spammer enquanto forja o seu no From. A verificação de alinhamento do DMARC fecha exatamente essa lacuna.

Caminho 1 — é o seu domínio exato: o primeiro dia

A falsificação do seu domínio exato só funciona enquanto o seu DNS não disser nada que permita aos recetores rejeitá-la. Hoje publica (ou aperta) os três registos; a aplicação segue ao longo da semana.

  1. SPF: publique um registo listando os seus remetentes reais, terminando em -all (“todos os outros: falha”). Se o seu terminar em +all ou ?all, corrija isso primeiro — é uma porta aberta que você próprio publicou. Passo a passo: como corrigir o SPF, cliques do fornecedor em SPF no GoDaddy.
  2. DKIM: ative a assinatura de domínio no seu fornecedor de email e em quaisquer ferramentas de newsletter/faturação (normalmente uns dois registos CNAME cada).
  3. DMARC: publique v=DMARC1; p=none; rua=mailto:... hoje para que os relatórios comecem a fluir; p=reject é o projeto desta semana, não desta hora — referência completa em como corrigir o DMARC. Se o domínio não enviar email legítimo nenhum — uma marca antiga, um domínio estacionado — salte a cautela e tranque-o hoje: aquele domínio antigo do seu rebranding é uma porta que deixou aberta.

A ressalva honesta, antes de relaxar: uma política DMARC aplicada diz aos servidores recetores para deitarem fora ou rejeitarem falsificações de domínio exato — e os grandes fornecedores honram-na. Mas só vincula os recetores que a verificam, e não faz absolutamente nada quanto a domínios semelhantes: assim que os criminosos não conseguirem enviar como asuaempresa.com, registar asuaempresa-faturacao.com custa uns euros. O DMARC encolhe o ataque; não termina a história — os passos da primeira semana também importam para si.

Caminho 2 — é um domínio semelhante: isto não é uma correção de DNS

Nenhum registo que publique no seu domínio afeta correio de um domínio que não possui — nada no seu DNS sequer é consultado. O plano de ação é remoção mais avisos:

  1. Descubra quem está por trás do domínio semelhante. Procure-o em RDAP/WHOIS (por exemplo lookup.icann.org) para obter o registrador, e verifique se aloja um website.
  2. Reporte-o ao contacto de abuso do registrador com a sua amostra de cabeçalhos completos em anexo — os registradores suspendem domínios de phishing todos os dias; evidência clara torna isto rápido. Um site de phishing? Reporte também ao alojamento, ao Google Safe Browsing e ao Microsoft SmartScreen.
  3. Reporte os emails como phishing nas caixas de correio recetoras (Gmail/Outlook “Report phishing”) — isto treina os grandes filtros contra o domínio semelhante mais depressa do que qualquer carta.
  4. Avise os alvos prováveis fora de banda — o passo que realmente impede o dinheiro de sair. Ligue ou envie mensagem (não apenas email) a clientes, fornecedores e ao seu contabilista: nomeie o domínio falso, e torne qualquer mudança de dados bancários “vinda de si” verificável por telefone. Esse hábito é a melhor defesa contra a história de fraude de faturas que já ouviu.
  5. Se o domínio semelhante abusar da sua marca, uma reclamação UDRP pode transferir o domínio — mais lenta do que uma remoção, mas permanente.

E siga o caminho 1 de qualquer forma: os atacantes raramente se incomodam com um domínio semelhante enquanto o domínio real ainda está aberto, e 89,41% dos domínios não têm DMARC aplicado (só 27.640.987 de 261.086.232 — 10,59% — aplicam, a 2026-06-29). Feche a sua própria porta de qualquer forma.

A primeira semana: monitorize, avise, aplique

  1. Leia os seus relatórios DMARC. No espaço de um ou dois dias após a tag rua= entrar em vigor, os relatórios agregados mostram todos os servidores a enviar como o seu domínio — os seus reais e o falsificador, com volumes e veredictos. É assim que vigia o ataque a morrer.
  2. Confirme que os seus remetentes legítimos passam. Cada origem real (fornecedor de correio, ferramenta de newsletter, aplicação de faturação, formulário de contacto do site) tem de passar o SPF ou o DKIM alinhado com o seu domínio antes de aplicar — caso contrário, o reject bloqueia também o seu próprio correio.
  3. Aperte o DMARC para p=quarantine, depois p=reject. Sob falsificação ativa, comprime os habituais meses numa semana ou duas — mas comprime as etapas, não as salta. O lançamento faseado, a rampa pct e a política de subdomínio: de p=none a p=reject sem perder email legítimo.
  4. Envie um aviso calmo e dirigido às contrapartes que podem ter recebido falsificações: o que aconteceu, o que a falsificação pedia, a regra de verificação por telefone para mudanças de pagamento, e (caminho 2) o domínio semelhante exato a bloquear.
  5. Volte a verificar e guarde o relatório. As seguradoras e os clientes perguntam cada vez mais o que fez quanto à segurança do email; um relatório datado e classificado responde por escrito.

Perguntas frequentes

Recebi um email de esquema do meu próprio endereço. Fui pirateado? Quase sempre não — o correio de extorsão “de si, para si” é o mesmo truque de forjar, explorando o facto de o seu domínio não rejeitar falsificações. Verifique a sua pasta Enviados e sessões recentes; se estiver limpo, é falsificação, e uma política DMARC aplicada trava essa variante nos recetores que a honram. A 2026-06-29, 89,41% dos 261.086.232 domínios classificados não fizeram isto.

O DMARC vai parar os emails de domínio semelhante? Não. A sua política DMARC governa apenas o seu domínio exato (e os seus subdomínios) — um domínio semelhante é o domínio de outra pessoa com o seu próprio DNS, nunca verificado contra os seus registos. Os domínios semelhantes combatem-se com denúncias de abuso ao registrador, denúncias de phishing e avisos a contrapartes, não com DNS.

Com que rapidez o p=reject vai realmente parar a falsificação? As mudanças de DNS chegam aos recetores em horas, e o Gmail, o Outlook e a maioria dos grandes fornecedores aplicam os veredictos do DMARC — as falsificações de domínio exato começam a morrer no dia em que a política entra em vigor. Dois limites honestos: recetores mais pequenos que nunca verificam o DMARC ainda podem entregar falsificações, e aplicar antes de os seus próprios remetentes estarem alinhados bloqueia o seu próprio correio legítimo — acelere as etapas, não as salte.

Envie o relatório ao proprietário

Se é o contratante de TI a tratar disto: assim que os registos estiverem em vigor, volte a executar a verificação e reencaminhe o relatório classificado ao dono do negócio. Mostra, em linguagem simples, o que permitiu a falsificação, o que mudou e onde o domínio está agora — a resposta escrita a “estamos seguros agora?”, e a evidência para a renovação do seguro ou o questionário de cliente. Se é o proprietário: peça exatamente esse relatório, e guarde o antes e o depois.

Verifique se o seu domínio é vulnerável a falsificação, grátis

Veja se o servidor de um estranho consegue atualmente passar por si — e exatamente o que corrigir — em privado e só para o proprietário.

Verifique o seu domínio → · De p=none a p=reject → · Corrigir o DMARC → · Alguém pode falsificar o meu domínio? → · Apenas dados agregados. Dados armazenados e processados na UE.