Uma enxurrada de novos dados do setor publicados nesta primavera transmite uma única mensagem urgente: a maioria das organizações fez o mínimo para evitar ser bloqueada pelo Gmail e pelo Outlook — e absolutamente nada para impedir que invasores se passem por seus domínios.
Dois grandes relatórios — o Relatório de Adoção e Aplicação de DMARC 2026 da EasyDMARC e o Relatório sobre o Estado do DMARC 2026 da Valimail — colocam números concretos em uma lacuna que as equipes de segurança vêm alertando há anos. A diferença entre “ter DMARC” e “ser protegido pelo DMARC” nunca foi maior, e o cenário de ameaças nunca tornou mais urgente fechá-la.
Os Números de Adoção Parecem Bons. Os de Proteção, Não.
O relatório da EasyDMARC, elaborado a partir da análise de 1,8 milhão de domínios, constatou que 52,1% dos domínios agora têm um registro DMARC — ante 47,7% em 2025, representando crescimento de 79% em três anos. Esse número parece encorajador. O detalhe por baixo dele não é.
Desses domínios com registros DMARC, apenas cerca de 9% combinam uma política de aplicação com relatórios agregados — a configuração que realmente bloqueia e-mails falsificados e mantém você informado sobre quem está enviando em seu nome. Os outros 91% têm:
- Uma política
p=noneque monitora, mas não bloqueia nada, ou - Uma política de aplicação sem relatórios, deixando-os voando às cegas
O relatório independente da Valimail encontrou uma lacuna semelhante: a conscientização sobre DMARC chegou a 78%, mas a aplicação real estacionou em apenas 42%, criando uma lacuna de 36 pontos entre as organizações que conhecem o DMARC e as que realmente são protegidas por ele.
Por Que p=none Não Resolve o Problema?
Quando o Google e o Yahoo anunciaram os requisitos para remetentes em massa no início de 2024, e quando a Microsoft seguiu o exemplo em meados de 2025, milhões de proprietários de domínios correram para publicar um registro DMARC. Muitos publicaram v=DMARC1; p=none; — o mínimo exigido para satisfazer as verificações de conformidade dos provedores de caixa de correio.
Eis o que p=none faz: ele instrui os servidores de e-mail receptores a monitorar e-mails não autenticados do seu domínio e enviar relatórios — mas a entregá-los mesmo assim. Um phisher que falsifica seu domínio para enviar uma campanha de roubo de credenciais para seus clientes passará facilmente por uma política p=none. Você pode eventualmente ver esse tráfego em seus relatórios agregados. Seus clientes já terão sido atingidos.
A aplicação legítima começa em p=quarantine (enviando e-mails não autenticados para spam) e culmina em p=reject (bloqueando-os completamente). Os dados da EasyDMARC mostram que apenas 411.935 domínios — menos da metade dos que possuem algum registro DMARC — atingiram quarantine ou reject.
O Contexto de Ameaças Torna Isso Urgente
Essas lacunas de conformidade existem em um pano de fundo de ataques baseados em e-mail que escalam rapidamente.
A Valimail rastreou mais de 2,5 bilhões de e-mails suspeitos em nome de seus clientes somente em 2025. A telemetria de segurança da Microsoft detectou 8,3 bilhões de ameaças de phishing por e-mail apenas no primeiro trimestre de 2026. Campanhas de phishing impulsionadas por inteligência artificial — com prosa impecável que imita convincentemente comunicações de executivos, faturas de fornecedores e alertas de TI — aumentaram 204% em relação ao ano anterior, com um e-mail malicioso detectado a cada 19 segundos.
Os kits de Phishing-as-a-Service (PhaaS) agora alimentam 90% das campanhas de alto volume, o que significa que atores com pouca habilidade técnica podem atacar seus clientes ou funcionários usando exatamente a identidade do seu domínio se você não tiver avançado além do p=none.
As empresas da Fortune 500 entenderam o recado: 95% já têm DMARC, com mais de 80% em políticas de nível de aplicação. Organizações menores — do Inc. 5000, empresas regionais, organizações sem fins lucrativos — ficam significativamente para trás, tornando-as alvos atraentes para falsificação de identidade.
O Que o Google e a Microsoft Realmente Exigem (e Por Que Não É Suficiente)
Ambos os principais provedores de caixa de correio estabelecem seus requisitos como pisos mínimos, não tetos:
- Google (Gmail): Domínios que enviam 5.000+ mensagens por dia devem ter SPF, DKIM e um registro DMARC em
p=noneou superior. O Gmail começou a rejeitar e-mails não conformes no final de 2025. - Microsoft (Outlook.com, Hotmail, Live, MSN): Mesmo limite de volume, mesmos requisitos de SPF/DKIM/DMARC. A aplicação começou em 5 de maio de 2025; e-mails não conformes agora são rejeitados com erro
550 5.7.515.
Cumprir esses requisitos mantém seu e-mail fora da lixeira de rejeição. Não protege seu domínio de falsificação por atores maliciosos. Marcar a caixa de conformidade e parar por aí é exatamente como 91% dos domínios habilitados para DMARC permanecem vulneráveis.
Como Realmente Fechar a Lacuna
Fechar a lacuna de aplicação do DMARC é um processo de três fases — não uma mudança pontual de DNS.
Fase 1 — Monitorar. Publique p=none com um endereço de relatórios rua. Aguarde de duas a quatro semanas e colete relatórios agregados (RUA) de cada provedor de caixa de correio que recebe e-mail do seu domínio.
Fase 2 — Identificar e autenticar. Revise seus relatórios agregados para encontrar cada fonte de e-mail legítima: seu ESP, seu CRM, sua plataforma de tickets, seu serviço de e-mail transacional. Certifique-se de que cada um esteja coberto pelo seu registro SPF ou assinado com DKIM usando seu domínio.
Fase 3 — Aplicar. Assim que todos os seus fluxos de e-mail legítimos estiverem autenticando corretamente, passe para p=quarantine, monitore por uma ou duas semanas e, em seguida, escale para p=reject. Com reject, e-mails não autorizados que afirmam ser do seu domínio são barrados na entrada.
A etapa de relatórios é a que a maioria das organizações pula quando se apressa para cumprir os prazos de conformidade. Sem ela, mover para aplicação arrisca bloquear seu próprio e-mail legítimo. Com ela, o caminho para p=reject é metódico e de baixo risco.
Pronto para ir além da conformidade e alcançar proteção real? O Excello Mail oferece um caminho totalmente gerenciado desde p=none até p=reject — incluindo análise de relatórios agregados, descoberta de fontes e aplicação guiada. Comece seu teste gratuito em excello.email →