Defaults.Exposed

Defaults.ExposedCorreçõesGuides

Um Questionário de Segurança de um Cliente Está a Perguntar Sobre Autenticação de Email — Responda (e Corrija as Lacunas) numa Tarde (2026)

Publicado 2026-07-08

Números a 2026-06-29 · metodologia v7. Dados agregados do censo de 261 milhões de domínios classificados — nunca publicamos os resultados de um domínio individual. Veja como classificamos.

O seu cliente está a perguntar porque as regras europeias de segurança da cadeia de fornecimento agora exigem que verifiquem os seus fornecedores. As perguntas têm um ponto de partida de dois minutos: uma verificação gratuita classifica exatamente o que estão a sondar. Só 7,4% dos domínios têm a autenticação de email totalmente alinhada e aplicada, segundo o censo do Defaults.Exposed de 261.086.232 domínios (a 2026-06-29) — a maioria dos fornecedores também ainda não consegue responder “sim”.

Eis o plano para a tarde: execute a verificação gratuita, leia o relatório classificado de uma página, responda com honestidade o que já é verdade, e corrija as vitórias fáceis gratuitas no mesmo dia. Para qualquer coisa mais profunda, um relatório datado mais uma breve nota de correção é uma resposta aceitável a título interino — e uma melhor do que um “sim” sem sustento.

Porque é que o nosso maior cliente está de repente a perguntar sobre a nossa segurança de email?

Não é pessoal. Se o seu cliente estiver no âmbito da NIS2 — a diretiva de segurança de redes e informação da UE — o artigo 21.º, n.º 2, alínea d), obriga-os a gerir a segurança da sua cadeia de fornecimento, e o Regulamento de Execução (UE) 2024/2690 detalha as medidas, nomeando especificamente a segurança do email. Por isso o departamento de compras envia um questionário a cada fornecedor; pode não estar abrangido pela NIS2 diretamente, mas é assim que a obrigação desce em cascata até si. O prazo e a consequência — manter-se na lista de fornecedores aprovados — existem porque o seu cliente tem de mostrar a um regulador que fez a verificação. (Escrevemos sobre o que a NIS2 realmente diz sobre autenticação de email.) As seguradoras agora fazem as mesmas perguntas — se o seu formulário de renovação também começou, essa é a versão de seguro desta tarde.

O que significam realmente as perguntas?

A secção de segurança de email de um questionário de fornecedor típico são quatro perguntas vestidas de acrónimos. Traduzidas uma vez, depois esquecemo-las.

O que o questionário perguntaO que significa em linguagem simplesComo o relatório da verificação responde
”Aplica uma política DMARC?” (DMARC — Domain-based Message Authentication, Reporting and Conformance)Disse aos servidores de correio do mundo para recusarem email que finja ser do seu domínio? A linha em que a maioria dos fornecedores falha: só 7,4% dos 261.086.232 domínios classificados têm isto alinhado e aplicado (censo a 2026-06-29).Indica e classifica a sua política. “Aplicada” significa reject ou quarantine; “só monitorização” ainda não bloqueia nada — diga qual, com honestidade.
”O SPF está configurado com uma política restritiva?” (SPF — Sender Policy Framework)Publicou a lista de servidores autorizados a enviar email como a sua empresa — e termina firmemente (“mais ninguém”) ou com um encolher de ombros (“e talvez outros”)?Mostra se a lista existe, é válida, e termina firme ou branda.
”Os emails de saída são assinados digitalmente (DKIM)?” (DKIM — DomainKeys Identified Mail)O seu email leva uma assinatura à prova de adulteração que prova que veio do seu domínio — em seu nome, não no predefinido do fornecedor?Mostra se existe uma assinatura em nome do seu domínio — a armadilha da predefinição do fornecedor é a lacuna mais comum que a verificação encontra.
”Monitoriza a falsificação do domínio?”Se alguém enviasse email falso como você, saberia — ou o primeiro sinal seria um telefonema zangado?Mostra se o endereço de relatórios está ativado, para que as tentativas de usurpação lhe cheguem.

Cada uma destas é respondida a partir das definições públicas do seu domínio — sem auditoria, sem agência, sem acesso aos seus sistemas. É por isso que o plano da tarde funciona. Estas quatro são também apenas as linhas de email de uma lista mais longa: o que os questionários de seguro cibernético e de fornecedores verificam no seu domínio tabela todos os controlos que sondam, com a taxa de aprovação de toda a internet para cada um. Esta página fica consigo pela tarde: o que responder, e o que corrigir primeiro.

Como respondemos até ao prazo? O plano de uma tarde

  1. Execute a verificação gratuita em defaults.exposed — dois minutos, antes de alguém tocar em nada. Lê as definições públicas do seu domínio e classifica exatamente as quatro áreas acima. Sem registo, sem acesso ao seu email.
  2. Leia o relatório classificado. Uma página, linguagem simples, datado — cada classificação corresponde a uma pergunta do questionário, para saber as suas respostas reais em vez de adivinhar.
  3. Responda o que já é verdade. Onde o relatório mostrar um passe, diga sim e diga porquê (“verificado por verificação independente,” com a data).
  4. Corrija as vitórias fáceis gratuitas no mesmo dia. As lacunas comuns são definições, não compras: uma lista de remetentes que termina branda (a correção de SPF), uma regra de falsificação em falta ou presa em modo de monitorização (a correção de DMARC), uma assinatura em nome da predefinição do fornecedor. Tudo gratuito, na maioria um registo DNS cada — reencaminhe a página de correção a quem gere o seu domínio, e várias respostas “não” tornam-se “sim” antes de o formulário voltar.
  5. Para qualquer coisa mais profunda, envie o relatório datado com uma nota de correção. Passar para uma política totalmente aplicada leva corretamente semanas de monitorização primeiro — nunca declare que está feita quando não está. “Verificação independente em anexo; lançamento de aplicação em curso, previsto para setembro” é uma resposta interina aceitável para qualquer equipa de compras competente. Um “sim” falso não é: as equipas de compras voltam a verificar, muitas vezes exatamente com este tipo de verificação.

Este questionário pode realmente jogar a nosso favor?

Sim — por causa do que todos os outros enviam de volta. A maioria dos fornecedores responde com um “sim” nu e nada por trás, enquanto só 7,4% dos 261.086.232 domínios classificados têm realmente a postura alinhada e aplicada que está a ser sondada (censo a 2026-06-29). Um relatório datado e classificado de forma independente — mesmo um que mostre uma lacuna e uma data de correção — vence um “sim” sem sustento, porque um é verificável e o outro é esperança. Não lhe estão a pedir para ser perfeito; estão a pedir-lhe para ser verificável. Poucos dos seus concorrentes nessa lista o serão.

E se o que realmente o incomoda for aquela história de fraude de faturas daquele evento de networking, mesmas definições, a mesma verificação de dois minutos.

Perguntas frequentes

E se não conseguir corrigir tudo antes do prazo? Envie o que é verdade: o relatório datado, o que corrigiu esta semana, e um plano datado para o resto. Os revisores de cadeia de fornecimento da NIS2 avaliam se os fornecedores gerem o risco, não se são perfeitos — um relatório classificado com uma nota de correção é gestão de risco, por escrito. O que falha nas revisões é o silêncio, ou uma alegação que não sobrevive a uma nova verificação.

O meu contratante de TI consegue tratar disto? As definições gratuitas, sim — a lista de remetentes, a sua própria assinatura, a regra de falsificação são trabalho de DNS de rotina, e as páginas de correção acima estão escritas para essa entrega. O que os contratantes razoavelmente consideram fora do seu âmbito é a camada de julgamento: que política aplicar, quando é seguro apertar, o que dizer ao cliente entretanto. O relatório classificado transforma essas decisões num documento, para que nenhum dos dois esteja a improvisar.

Vão mesmo excluir-nos como fornecedor? Por uma resposta em branco ou uma alegação falsa apanhada — eventualmente, sim; o cliente tem um regulador a quem responder. Por uma lacuna honesta com uma data de correção — muito improvável: em todos os 261.086.232 domínios classificados, só 10,59% aplicam a política de falsificação que estes questionários perguntam (censo a 2026-06-29). Honesto-com-um-plano mantém-no na lista.

Não estamos abrangidos pela NIS2 — podemos ignorar o questionário? A obrigação é do seu cliente, e eles cumprem-na escolhendo fornecedores verificáveis. O espaço para se destacar é enorme: só 7,4% de todos os 261.086.232 domínios classificados têm a autenticação de email alinhada e aplicada (censo a 2026-06-29). Uma tarde coloca-o à frente de quase todos os outros nomes nessa lista de fornecedores.

Reencaminhe o relatório ao seu contacto de TI

Não volte a escrever nada disto. Execute a verificação gratuita, depois reencaminhe duas coisas a quem trata do seu domínio: o relatório classificado e este artigo. O relatório diz exatamente que definições mudar; as páginas de correção dão os passos. Quando o relatório corrigido voltar, as respostas do questionário escrevem-se sozinhas — classificação a classificação. Depois arquive-o: o próximo cliente vai perguntar as mesmas quatro coisas, a sua renovação de seguro já pergunta, e um relatório datado que pode anexar em cinco minutos é a diferença entre uma tarde e um exercício de emergência.

Verifique o seu domínio → · O que os questionários verificam no seu domínio → · Aquela história de fraude de faturas que ouviu → · Apenas dados agregados. Dados armazenados e processados na UE.