Os dados do relatório State of DMARC 2026 da Valimail estabelecem o ensino superior como o setor com pior aplicação do DMARC de todas as categorias industriais medidas. Universidades, faculdades e institutos estão em apenas 33,71% de aplicação, uma cifra que coloca o setor atrás do varejo, manufatura, serviços financeiros, saúde e todos os outros setores monitorados. O único setor que se aproxima é o de artes e recreação, com 31,61%.
A análise da Proofpoint de fevereiro de 2026 sobre as 100 melhores universidades australianas chegou a uma conclusão consistente: 66% dessas instituições não implementaram o DMARC no nível de política p=reject. Outros 7% das instituições pesquisadas não publicam nenhum registro DMARC. Nos Estados Unidos e no Canadá, pesquisa da dmarcian constatou que 60% dos domínios universitários são suscetíveis a ataques de phishing porque não possuem registro DMARC, contêm erros nos registros ou estão configurados como p=none.
O setor não está parado. Uma onda de instituições avançou para a aplicação nas últimas semanas. A Universidade Clemson começou a aplicar o DMARC para remetentes externos de e-mail em 2 de junho, exigindo que todos os departamentos e divisões que usam plataformas externas para enviar e-mails com domínio universitário verificassem se suas configurações atendem à nova política. A Universidade de Toronto implementou sua mudança de aplicação em 1 de maio. A Universidade Cornell aplica p=reject a todos os endereços @cornell.edu, bloqueando em todo o mundo as mensagens que falham na autenticação. Mas o progresso é desigual, e os dados deixam claro que o setor ainda tem o caminho mais longo a percorrer.
Por Que os Domínios Universitários São Tão Complexos de Proteger
O ensino superior apresenta um desafio de aplicação do DMARC que poucas organizações enfrentam na mesma escala. Uma universidade de médio porte típica pode ter dezenas de departamentos, cada um gerenciando suas próprias comunicações de e-mail com relacionamentos com fornecedores gerenciados de forma independente. Some-se plataformas de relações com ex-alunos, sistemas de notificação de moradias estudantis, serviços de notificação de pesquisas, sistemas de gestão de aprendizagem, comunicações esportivas, plataformas de vendas de ingressos, fluxos de trabalho de RH, processamento de auxílios estudantis e sistemas de alertas de emergência, e o panorama da infraestrutura de envio de uma única instituição se torna genuinamente complexo.
Cada uma dessas plataformas externas envia e-mail usando o domínio da universidade. Se alguma delas não estiver configurada com a assinatura DKIM correta ou não estiver coberta pelo registro SPF da instituição, avançar para p=reject bloqueará seus e-mails. E como as universidades normalmente operam com estruturas de governança descentralizadas, onde cada escola ou departamento controla seus próprios relacionamentos com fornecedores, o trabalho de identificar e autenticar cada fonte de envio não é um projeto único. Requer coordenação interinstitucional entre partes interessadas que podem não ter tido nenhum motivo anterior para se comunicar com a equipe de segurança.
Essa complexidade é o principal motivo pelo qual os dados setoriais da Valimail têm o aspecto que têm. Não é que as equipes de segurança do ensino superior careçam de experiência ou comprometimento. É que a superfície de autenticação de uma grande universidade de pesquisa é estruturalmente maior e mais distribuída do que a maioria dos ambientes empresariais, e reduzi-la a um estado em que p=reject possa ser aplicado com segurança demanda mais tempo, mais coordenação e mais ferramentas do que organizações com estruturas mais simples precisam.
O Que os Atacantes Fazem Com Domínios Universitários Abertos
A consequência prática de uma política DMARC não aplicada ou ausente em um domínio universitário é que qualquer pessoa pode enviar e-mails que aparentemente se originam daquela instituição. Os domínios universitários são alvos de alto valor para falsificação.
A pesquisa da dmarcian documenta resultados do mundo real: campanhas de phishing usando identidades de e-mail universitárias resultaram em roubo de credenciais bancárias de estudantes e funcionários e, de forma significativa, no redirecionamento de desembolsos de auxílio financeiro estudantil para contas fraudulentas. Um e-mail convincente parecendo vir de auxilio.financeiro@[universidade].edu pedindo a um estudante que atualize suas informações de depósito direto não requer nenhum acesso aos sistemas universitários. Requer apenas que o domínio universitário não tenha nenhuma política de aplicação.
A ameaça não se limita aos estudantes. Professores de instituições de pesquisa recebem notificações de bolsas, solicitações de compartilhamento de dados e convites de colaboração que fazem referência à identidade universitária. Administradores gerenciam folha de pagamento, pagamentos a fornecedores e dados de RH. Em cada caso, uma mensagem falsificada chegando de um domínio institucional reconhecido contorna o heurístico básico que os destinatários usam para determinar confiança. Um estudo da Proofpoint descobriu que 97% das principais universidades da Austrália, Estados Unidos e Reino Unido estavam colocando estudantes, funcionários e partes interessadas em risco de serem personificados por cibercriminosos, uma cifra amplamente impulsionada pela ausência de DMARC em nível de aplicação.
A Onda de Aplicação É Real, Mas Estreita
Os anúncios de Clemson e da Universidade de Toronto fazem parte de um padrão mais amplo. Múltiplas instituições avançaram silenciosamente para a aplicação em 2026 após concluírem a fase de mapeamento de fontes que precede as mudanças de política. O dado setorial da Valimail de 33,71% significa que mais de um terço dos domínios do ensino superior medidos concluíram esse trabalho, um número significativo que não existia dois ou três anos atrás.
Mas também significa que dois terços permanecem no nível de monitoramento ou abaixo. Para instituições em p=none, os relatórios agregados sendo gerados agora mesmo contêm as informações necessárias para mapear cada fonte de envio legítima. Esses dados já existem. A lacuna entre tê-los e agir sobre eles é operacional, não técnica.
Para instituições que ainda não publicaram nenhum registro DMARC, o primeiro passo é simplesmente publicar p=none com um endereço de relatórios rua. Em poucas semanas, o panorama do que está enviando como domínio da instituição se torna visível, incluindo fontes que as equipes de TI podem não ter sabido que existiam.
O Problema Estrutural Que as Plataformas Externas de E-mail Criam
O gatilho específico da ação de aplicação de 2 de junho da Clemson, que exigia que aplicativos externos cumprissem a política DMARC, aponta para o ponto de bloqueio mais comum para instituições de ensino superior que tentam chegar a p=reject.
Uma universidade pode ter sua infraestrutura central no Microsoft 365 ou Google Workspace, com assinatura DKIM devidamente configurada para esses ambientes. Mas quando um departamento lança uma nova plataforma de e-mail marketing, uma organização estudantil adota uma ferramenta de newsletter ou um grupo de pesquisa configura notificações automatizadas por meio de um serviço em nuvem, esse novo remetente imediatamente se torna uma lacuna de autenticação. A menos que alguém adicione proativamente o serviço ao registro SPF e configure a assinatura DKIM, a primeira indicação de que algo está errado é um relatório agregado DMARC mostrando falhas de autenticação ou, se a aplicação já estiver ativa, e-mails devolvidos.
O modelo da Clemson, que exige que os departamentos enviem uma solicitação de verificação antes de usar uma ferramenta de e-mail externa, é uma abordagem de governança que contorna o problema da descentralização. Ele insere um ponto de verificação antes que novos remetentes entrem em operação, em vez de tentar remediar depois do fato.
O Que o Google e a Microsoft Exigem Não É Proteção Suficiente
Tanto o Google quanto a Microsoft estabeleceram requisitos de DMARC para remetentes em massa, com p=none como mínimo. Universidades que publicam uma política p=none satisfizeram os requisitos do provedor de caixa de e-mail. Elas não protegeram seu domínio.
p=none diz aos servidores de e-mail receptores para entregar e-mails não autenticados e reportar sobre eles. Um golpista que falsifica um domínio universitário para atacar estudantes potenciais com um pedido falso de auxílio financeiro, ou que se passa por um reitor para conduzir um golpe de cartão-presente contra funcionários, passa diretamente por uma política p=none. A instituição recebe um relatório agregado. A vítima recebe a mensagem.
A distância entre p=none e p=reject não é principalmente uma distância técnica. É o tempo necessário para trabalhar com os dados dos relatórios agregados, identificar cada fonte de envio legítima, verificar a autenticação de cada uma e progredir por p=quarantine antes de atingir a rejeição total. Para uma grande universidade de pesquisa com centenas de sistemas de envio, esse processo leva meses. Para uma instituição menor com controle centralizado de TI, pode levar semanas.
O Padrão Que Está Emergindo
O que Clemson, Toronto e Cornell fizeram representa a direção de desenvolvimento do setor. A pressão institucional para superar o piso mínimo de conformidade dos provedores de caixa de e-mail está aumentando à medida que os ataques de phishing contra comunidades acadêmicas se tornam mais sofisticados e estruturas regulatórias em diversas jurisdições começam a tratar a autenticação de e-mail como uma base de segurança, e não apenas uma boa prática.
O ensino superior tem desafios estruturais que outros setores não têm. Mas esses desafios têm soluções, e as instituições que avançaram para p=reject demonstram que o trabalho é alcançável. Os 33,71% que chegaram até lá não são um teto. São a evidência de que o caminho existe.
Cada fonte de envio legítima que sua instituição usa aparece nos relatórios agregados de DMARC, mas apenas se você tiver as ferramentas certas para lê-los. O Excello Mail mapeia toda a sua infraestrutura de envio, identifica cada lacuna de autenticação e orienta você de p=none a p=reject sem interromper o e-mail legítimo. Cadastre-se gratuitamente no Excello Mail e veja exatamente onde seu domínio está.