Durante anos, a aplicação do DMARC pareceu ser um problema exclusivo das grandes empresas. Organizações maiores tinham equipes de TI para gerenciar configurações de DNS, relatórios agregados e o cuidadoso trabalho de descoberta de fontes necessário para passar de p=none para p=reject sem interromper o correio legítimo. Organizações menores ficavam indefinidamente em p=none, tecnicamente em conformidade com os requisitos mínimos do Google e da Microsoft, mas praticamente desprotegidas.
Esse cenário está mudando. A edição 2026 do padrão internacional de cibersegurança SMB1001 — publicado pela Dynamic Standards International e certificável a partir de janeiro de 2026 — agora exige a aplicação do DMARC para pequenas e médias empresas que buscam a certificação Gold. É o primeiro grande padrão internacional de cibersegurança projetado especificamente para PMEs que traça uma linha clara entre monitoramento e proteção.
O Que é o SMB1001 e Por Que Importa
O SMB1001 é um framework de certificação de cibersegurança em cinco níveis criado para organizações que não contam com equipes de segurança de escala empresarial. Seus níveis correspondem aproximadamente a graus crescentes de maturidade operacional: Bronze cobre controles fundamentais como firewalls e backups; Silver adiciona contas individuais e autenticação multifator no e-mail; Gold exige detecção de ameaças em endpoints, um plano documentado de resposta a incidentes e — com a atualização de 2026 — aplicação verificada do DMARC; Platinum e Diamond incorporam auditorias externas, testes de penetração e gestão formal de risco com fornecedores.
O padrão tem reconhecimento internacional e se alinha explicitamente com o Cyber Essentials do Reino Unido, a Certificação do Modelo de Maturidade de Cibersegurança (CMMC) do Departamento de Defesa dos EUA e os Essential Eight da Austrália. Quando um requisito de contratação governamental ou processo de aquisição faz referência a um desses frameworks, a certificação SMB1001 satisfaz os controles equivalentes. Esse reconhecimento cruzado é um fator significativo para empresas menores que operam em setores regulados ou cadeias de fornecimento governamentais.
A edição 2026 incluiu seis mudanças substantivas em relação à versão anterior. A primeira — e a que mais atenção recebeu da comunidade de segurança — é a introdução de controles de autenticação de e-mail e anti-falsificação que exigem explicitamente o DMARC em nível de aplicação.
O Que o Padrão Realmente Exige
O SMB1001:2026 introduz controles de autenticação de e-mail a partir do Nível 2 (Silver) e os reforça no Nível 3 (Gold) e acima.
No Silver, o padrão exige um registro SPF válido que liste com precisão todas as fontes de envio autorizadas para o domínio.
No Gold, os requisitos se expandem para incluir:
- Assinatura DKIM: todos os e-mails enviados devem ser assinados com uma chave DKIM publicada no DNS
- Um registro DMARC com uma política de
p=quarantineoup=reject, nãop=none - Alinhamento entre o domínio do cabeçalho From e o domínio autenticado por SPF ou DKIM
- Um endereço de relatórios (
rua) especificado no registro DMARC
A orientação do padrão é explícita em um ponto crítico: as organizações não devem passar para p=quarantine ou p=reject até que tenham verificado que todos os fluxos de e-mail legítimos estão corretamente autenticados. Avançar para a aplicação antes de concluir a descoberta de fontes arrisca bloquear o e-mail enviado por sistemas de CRM, serviços de e-mail transacional, plataformas de marketing e outras ferramentas que enviam em nome do domínio. O padrão trata esse trabalho de verificação como uma etapa obrigatória, não uma precaução opcional.
O Contexto de Ameaças Que Motivou a Mudança
A atualização do SMB1001 não aconteceu no vácuo. A edição 2026 reflete um ambiente de ameaças que mudou significativamente contra organizações menores.
O Relatório de Investigações de Violação de Dados da Verizon 2025 descobriu que o ransomware apareceu em 88% das violações de PMEs e que pequenas e médias empresas são atacadas quase quatro vezes mais frequentemente do que grandes organizações. A lógica econômica desse ataque é direta: as PMEs frequentemente mantêm relacionamentos com organizações maiores por meio de cadeias de fornecimento, serviços profissionais e redes de fornecedores. Comprometer a identidade de e-mail de uma PME — falsificando seu domínio para enviar mensagens de phishing para a empresa que ela atende — pode render alvos de muito maior valor na cadeia.
O Relatório de Adoção de DMARC 2026 da EasyDMARC desenha o contraste com nitidez. Entre as empresas da Fortune 500, 95% têm DMARC, com mais de 80% em nível de aplicação. Entre as empresas da Inc. 5000 — um proxy razoável para PMEs grandes e empresas em estágio de crescimento — a adoção do DMARC está em 76%, mas apenas 15% chegaram ao p=reject. Entre empresas menores sem pressão externa de conformidade, os números são piores.
Essa lacuna entre adoção e aplicação é precisamente o que os atacantes exploram. Um domínio com p=none anuncia ao mundo que tem consciência do DMARC mas sem aplicação. Qualquer e-mail que afirme se originar desse domínio — independentemente de quem realmente o enviou — será entregue por servidores de e-mail receptores que honram a instrução explícita de não tomar nenhuma ação.
Por Que p=none Não é Conformidade
A confusão entre ter um registro DMARC e ser protegido pelo DMARC é generalizada. Quando o Google e a Microsoft estabeleceram seus requisitos para remetentes em massa, exigiram um registro DMARC em p=none ou superior. Para muitas organizações, publicar p=none foi o fim do projeto.
O SMB1001:2026 rejeita explicitamente essa posição. O nível Gold exige p=quarantine ou p=reject. Os autores do padrão são claros: p=none é uma fase de monitoramento, não uma fase de proteção. Organizações em p=none estão coletando dados que podem ou não estar lendo; elas não estão protegendo sua identidade de domínio nem seus clientes contra falsificação.
A distinção importa na prática. O relatório da EasyDMARC descobriu que mais da metade de todos os domínios com um registro DMARC permanecem em p=none. Isso significa que mais da metade dos domínios habilitados para DMARC fizeram a burocracia para conformidade enquanto deixam a porta aberta para falsificação. O SMB1001:2026 fecha essa brecha para as organizações que ele governa.
O Caminho Para o Gold
Para uma PME que atualmente está em p=none — ou sem nenhum registro DMARC — o caminho para a certificação Gold sob o SMB1001:2026 é uma sequência de etapas verificáveis:
Etapa 1: Inventariar fontes de envio. Liste cada sistema que envia e-mail usando seu domínio: seu provedor de e-mail principal, seu ESP, seu serviço de e-mail transacional, seu CRM, sua plataforma de suporte ao cliente, seu software de contabilidade, seu sistema de RH. Muitas organizações se surpreendem com a quantidade de fontes que existem.
Etapa 2: Autenticar cada fonte. Certifique-se de que cada fonte esteja incluída em seu registro SPF (dentro do limite de 10 consultas) ou esteja assinando com DKIM usando seu domínio. Remetentes de subdomínios devem ser gerenciados por meio de achatamento de SPF ou usando subdomínios dedicados com suas próprias chaves DKIM.
Etapa 3: Verificar com relatórios agregados. Publique p=none com um endereço de relatórios rua e revise os relatórios por duas a quatro semanas. Os relatórios mostrarão cada fonte que envia e-mail reivindicando seu domínio e se essa fonte está passando ou falhando na autenticação. Qualquer fonte que falhe é um fluxo legítimo que precisa ser autenticado ou uma fonte de falsificação que a aplicação bloqueará.
Etapa 4: Avançar para a aplicação. Quando os relatórios agregados mostrarem que todas as fontes legítimas estão passando, mude para p=quarantine. Monitore por uma a duas semanas. Se nenhum e-mail legítimo estiver sendo mal roteado, escale para p=reject. Nesse ponto, o uso não autorizado da identidade do seu domínio fica bloqueado no servidor receptor antes de chegar a qualquer destinatário.
Etapa 5: Manter visibilidade contínua. A configuração do DMARC não é uma tarefa única. Novas fontes de envio — uma ferramenta de marketing recém-implantada, uma integração de fornecedor, um funcionário usando um serviço não autorizado — aparecem nos relatórios agregados e precisam ser tratadas antes de causar desvio de conformidade.
O Sinal Regulatório Mais Amplo
O SMB1001:2026 se junta a uma lista crescente de frameworks que agora tratam a aplicação do DMARC como um requisito de segurança de referência. O PCI DSS v4.0 exige isso para qualquer organização que lide com dados de titulares de cartões. NIS2 e DORA na União Europeia reconhecem a autenticação de e-mail como um controle de cibersegurança obrigatório. La Poste exige autenticação completa para todos os remetentes — não apenas os de alto volume — entregando em sua rede. Google e Microsoft aplicam a autenticação para remetentes de alto volume.
A direção do caminho regulatório é consistente: DMARC apenas de monitoramento não é mais aceitável como controle completo. Organizações que trataram p=none como a linha de chegada estão descobrindo cada vez mais que reguladores, organismos de certificação e provedores de caixa de entrada discordam.
Para PMEs que têm observado como as grandes empresas navegam por essa transição e se perguntam quando chegará a vez delas: a resposta, com a publicação do SMB1001:2026, é agora.
A Excello Mail torna o caminho de p=none para p=reject gerenciável para empresas de todos os tamanhos. Descoberta automatizada de fontes, análise de relatórios agregados, aplicação guiada e monitoramento contínuo — tudo o que é necessário para atender à certificação Gold do SMB1001:2026 e mantê-la. Cadastre-se gratuitamente em excello.email →