A Cloudflare publicou seu Relatório de Inteligência de Ameaças 2026 em março, e o capítulo sobre segurança de e-mail merece mais atenção do que recebeu na cobertura geral do relatório. A descoberta principal, de que atores de estados-nação e cibercriminosos estão migrando de invadir sistemas para simplesmente fazer login com credenciais roubadas, é real e bem documentada. O que recebeu menos cobertura é como essas credenciais estão sendo roubadas em primeiro lugar, e o que os dados de autenticação por trás de 450 milhões de e-mails analisados revelam sobre o estado da segurança de e-mail na internet.
O que 450 Milhões de E-mails Parecem Quando Você Realmente os Verifica
A equipe de pesquisa de segurança da Cloudflare analisou 450 milhões de e-mails e verificou cada um contra os três protocolos principais de autenticação de e-mail. Os resultados são uma medição direta de quanta parte do ecossistema de e-mail está funcionando sem proteções básicas.
Quarenta e seis por cento desses e-mails falharam na autenticação DMARC. Quarenta e três por cento falharam nas verificações SPF. Quarenta e quatro por cento não tinham assinaturas DKIM válidas. Esses não são casos marginais ou ruído de pastas de spam. São e-mails atravessando infraestrutura de produção, chegando a caixas de entrada reais, sendo lidos por destinatários reais.
Separadamente, a Cloudflare constatou que 18,11% de todo o e-mail recebido em caixas de correio protegidas pela Cloudflare no primeiro trimestre de 2026 foi classificado como tentativa de falsificação, aproximadamente um em cada cinco e-mails e meio. A grande maioria dessas tentativas de falsificação falha quando a aplicação de DMARC está em vigor. O problema é a aplicação: conforme constatou o Relatório de Adoção 2026 da EasyDMARC, mais da metade dos domínios com registros DMARC ainda estão em p=none, uma política que monitora mas não bloqueia nada.
A matemática é desconfortável. Se 18% dos e-mails são tentativas de falsificação, e mais da metade dos domínios com DMARC habilitado não estão bloqueando nada, o número de mensagens falsificadas que realmente chegam às caixas de entrada é muito grande.
A Economia de Credenciais Por Trás dos Números
O relatório da Cloudflare enquadra o cenário geral de ameaças em torno do que chama de mudança de “invasão” para “login”. Os dados são marcantes: 63% de todos os logins observados pela Cloudflare envolveram credenciais que já estavam comprometidas e disponíveis em conjuntos de dados de violações anteriores. Noventa e quatro por cento de todas as tentativas de login se originam de bots operando em escala.
Isso não é coincidência. Roubo de credenciais e phishing por e-mail estão diretamente ligados. As campanhas de phishing detectadas no e-mail são quase sempre a causa upstream do roubo de credenciais medido nas tentativas de login. Alguém recebe um e-mail convincente, insere seu nome de usuário e senha em uma página de login falsa, e essas credenciais se juntam a um banco de dados que será usado em tentativas de login automatizadas contra todos os serviços importantes que essa conta possa tocar.
A aplicação de DMARC interrompe o caminho de falsificação de domínio para roubo de credenciais: quando um atacante não pode se passar convincentemente pelo seu domínio, o e-mail de phishing se torna menos eficaz. Mas o relatório da Cloudflare também documenta uma técnica que contorna o DMARC completamente, e está crescendo rapidamente.
O Problema da Infraestrutura Confiável
O Amazon Simple Email Service foi construído para enviar e-mail autenticado em escala. Publica registros SPF, assina mensagens com DKIM e opera sob políticas DMARC que passam na verificação em todos os principais provedores de caixa de correio. Esse é o objetivo completo do serviço: entrega de e-mail confiável e autenticada.
A equipe de inteligência de ameaças da Cloudflare, junto com pesquisadores da Securelist, documentou um aumento significativo nas campanhas de phishing no início de 2026 que roteiam suas mensagens pelo Amazon SES. Os atacantes não estão explorando uma vulnerabilidade. Estão usando o serviço conforme projetado, tendo adquirido acesso por meio de contas AWS comprometidas, acesso comprado em mercados clandestinos ou criando contas usando identidades roubadas.
O resultado: e-mails de phishing chegam aos destinatários com registros SPF válidos, assinaturas DKIM válidas e resultados DMARC mostrando pass. Cada verificação técnica de autenticação confirma que a mensagem veio exatamente de onde diz que veio: um endpoint de envio do Amazon SES. O domínio de envio pode ser um domínio similar registrado recentemente, um domínio antigo comprado recentemente, ou mesmo um domínio legítimo comprometido com sua configuração de envio redirecionada. A autenticação toda está correta.
O SendGrid, a outra principal plataforma de entrega de e-mail na nuvem, foi objeto de abuso similar. Pesquisadores da Ironscales documentaram uma campanha em 2025 onde os atacantes usaram contas comprometidas de clientes do SendGrid para enviar phishing em escala, com cada mensagem carregando os cabeçalhos de autenticação legítimos que o SendGrid gera para seus clientes. O phishing passou nas verificações SPF, DKIM e DMARC porque genuinamente vinha do SendGrid.
A isca mais comum observada no abuso do Amazon SES no início de 2026 envolvia notificações falsas de assinatura eletrônica: e-mails se passando por DocuSign, Adobe Sign e serviços similares, pedindo aos destinatários que clicassem em um link para revisar e assinar um documento. Departamentos financeiros eram alvejados com threads de faturas fabricadas, completas com anexos PDF contendo detalhes de pagamento falsificados. Sem URLs maliciosas no corpo, sem anexos acionando assinaturas de antivírus. Apenas um e-mail autenticado e um PDF.
Comprometimento de E-mail Empresarial e o Impacto Financeiro
Os números de Comprometimento de E-mail Empresarial no relatório da Cloudflare colocam valores em dólares no que essas campanhas custam às organizações. A Cloudflare interceptou mais de 123 milhões de dólares em tentativas de roubo financeiro por BEC em 2025. A tentativa individual média de BEC ficou em aproximadamente 49.225 dólares.
Essa média não é acidental. Os pesquisadores da Cloudflare observam que ela reflete uma calibração deliberada pelos fraudadores que operam essas campanhas. Transferências bancárias abaixo de 50.000 dólares frequentemente ficam abaixo do limite que aciona aprovação de nível executivo ou requisitos de verificação adicionais. Os atacantes estudaram os fluxos de aprovação de seus alvos e ajustaram suas solicitações para deslizar abaixo da camada de revisão manual.
As campanhas de BEC que operam por infraestrutura de e-mail em nuvem legítima são particularmente eficazes precisamente porque chegam autenticadas. Um funcionário de finanças que verifica se um e-mail “parece legítimo” e vê status válido de SPF, DKIM e DMARC está recebendo um sinal falso positivo: a autenticação confirma que a mensagem veio de onde afirma, não que a afirmação em si seja honesta.
O que o DMARC Para e o que Não Para
Os dados do relatório da Cloudflare ilustram ambos os lados do que a aplicação de DMARC fornece.
Contra os 18% dos e-mails que são tentativas de falsificação direcionadas a domínios com registros DMARC em p=quarantine ou p=reject, a aplicação de DMARC funciona: essas mensagens são bloqueadas ou enviadas ao spam antes de chegarem à caixa de entrada. Essa proteção é substancial. A falsificação de domínio é barata, escalável e um componente importante do volume de phishing. Eliminá-la da superfície de ameaça que seus destinatários enfrentam é uma proteção significativa.
Contra o abuso do Amazon SES e SendGrid documentado no relatório da Cloudflare, a aplicação de DMARC no domínio receptor não tem efeito sobre se a mensagem é entregue. A mensagem passa no DMARC porque foi enviada por infraestrutura que se autentica corretamente. O protocolo de autenticação identifica corretamente a mensagem como vindo de onde diz que veio. O problema é que de onde diz que veio é uma operação de phishing usando infraestrutura legítima.
Essa distinção é importante de entender porque às vezes é usada como argumento contra o DMARC. Não deveria ser. A conclusão apropriada é que o DMARC é uma camada necessária de defesa que elimina a falsificação de domínio, e que precisa ser combinado com camadas que abordem ameaças para as quais não foi projetado para parar.
A Lista de Alvos de Falsificação
O relatório da Cloudflare identificou as marcas mais frequentemente falsificadas em campanhas de phishing observadas em sua rede: Windows, SANS, Microsoft, Stripe e Facebook lideraram a lista. O padrão reflete onde os atacantes esperam que seus alvos tenham contas e onde o roubo de credenciais rende o maior valor posterior.
Credenciais da Microsoft dão acesso a e-mail, SharePoint, Teams e o ambiente completo do Microsoft 365. Credenciais do Stripe podem dar acesso ao processamento de pagamentos. Iscas com marca Windows tipicamente visam funcionários, com a implicação de urgência relacionada a TI impulsionando cliques. A sofisticação da isca varia por alvo, mas o objetivo é consistente: adquirir um nome de usuário e senha que funcione em algum lugar que importa.
Construindo Defesas que Consideram o Abuso de Infraestrutura Confiável
O surgimento do phishing de infraestrutura confiável não torna o DMARC menos importante. Torna a pilha de segurança completa mais importante.
Aplique DMARC em p=reject no seu próprio domínio. Isso elimina completamente o caminho de ataque de falsificação de domínio. Qualquer campanha de phishing que tente se passar pelo seu domínio é bloqueada em todos os servidores de e-mail receptores que executam validação DMARC. Isso cobre a maioria das campanhas de falsificação baseadas em volume.
Use ativamente os relatórios agregados de DMARC. Os relatórios agregados gerados pelo seu registro DMARC são um feed contínuo de quem está enviando e-mail em nome do seu domínio. Se um atacante registrou um domínio similar e está falsificando a partir dele, a atividade frequentemente aparece nos dados de relatórios agregados antes de ser detectada em qualquer outro lugar. Isso requer realmente ler os relatórios, que é onde a maioria das organizações falha.
Reconheça que autenticação do remetente e identidade do remetente são coisas diferentes. A autenticação verifica que uma mensagem veio de onde afirma. Não verifica que o remetente deve ser confiável. Um e-mail de phishing enviado pelo Amazon SES vem do Amazon SES. Isso é preciso. Não vem do DocuSign. Essas são declarações diferentes, e a segunda é onde a enganação vive.
Aplique escrutínio adicional a mensagens de infraestrutura de e-mail em nuvem. Algumas plataformas avançadas de segurança de e-mail agora sinalizam mensagens enviadas por serviços de entrega em nuvem de alto volume quando o domínio de envio é novo, não tem histórico de reputação ou não corresponde à marca invocada no corpo da mensagem. Essa camada de análise visa exatamente o padrão de abuso de infraestrutura confiável.
O BIMI fornece aos destinatários uma âncora de verificação visual. Uma caixa de entrada habilitada para BIMI exibe o logotipo verificado de um remetente que concluiu a aplicação de DMARC e a verificação VMC de terceiros. Os destinatários podem ver de relance que uma mensagem do seu domínio veio de você. Campanhas de phishing que se passam pela sua marca usando um domínio diferente ou um relay de e-mail na nuvem não carregam seu logotipo verificado, o que dá aos destinatários um sinal visual concreto de que algo está errado.
Treine os destinatários sobre a mecânica específica do phishing de infraestrutura confiável. A defesa principal contra um ataque que passa por todos os filtros técnicos é um destinatário que faz uma pausa antes de clicar. O treinamento que se concentra especificamente em como o phishing autenticado funciona, explicando que um resultado de autenticação válido não significa que o e-mail é legítimo, aborda a lacuna que os controles técnicos deixam aberta.
O Padrão Mais Amplo
O relatório de 2026 da Cloudflare documenta 230 bilhões de ameaças bloqueadas por dia em sua rede. O e-mail é um vetor entre muitos. Mas continua sendo o principal vetor de acesso inicial para campanhas de roubo de credenciais que então alimentam os padrões de ataque baseados em login que o relatório enfatiza.
A análise de 450 milhões de e-mails que a Cloudflare publicou é um instantâneo de um ecossistema de e-mail onde quase metade de todas as mensagens está falhando na autenticação ou carregando autenticação que serve de cobertura para conteúdo malicioso. Melhorar esse quadro requer ambos os lados da resposta: mais domínios aplicando DMARC para eliminar o tráfego de falsificação, e mais capacidade de detecção em camadas para capturar o phishing autenticado que o DMARC não foi projetado para parar.
Nenhuma capacidade sozinha é suficiente. Juntas, elas abordam as duas maiores categorias de ameaça baseada em e-mail que os dados da Cloudflare documentam.
A Excello Mail monitora sua postura de autenticação DMARC continuamente — análise de relatórios agregados, descoberta de fontes, orientação de aplicação de políticas e alertas quando fontes de envio incomuns aparecem em nome do seu domínio. Cadastre-se gratuitamente em excello.email →