A alta temporada de viagens de verão está em andamento. Centenas de milhões de viajantes vão reservar voos, verificar confirmações, responder a ofertas de upgrade e receber notificações de bagagem nas próximas semanas. Cada um desses emails é uma superfície que os invasores podem explorar – e o setor aéreo fez menos para proteger essa superfície do que quase qualquer outro setor importante.
A análise da Proofpoint sobre as 296 companhias aéreas membros da Associação Internacional de Transporte Aéreo (IATA) descobriu que 61 por cento não têm nenhum registro DMARC publicado – o registro DNS fundamental que permite aos servidores de correio receptores verificar se um email alegando vir do domínio de uma companhia aérea foi realmente enviado por essa companhia aérea.
O cenário de aplicação é ainda pior. Das companhias aéreas que têm um registro DMARC, a maioria definiu sua política como p=none, o que instrui os servidores receptores a não tomar nenhuma ação sobre o correio não autorizado e apenas reportá-lo. No nível de aplicação mais estrito, p=reject, apenas 7 por cento das companhias aéreas globais estão bloqueando ativamente emails fraudulentos de chegarem às caixas de entrada dos passageiros. 93 por cento não estão.
O Que um Invasor Pode Fazer com um Domínio Sem Aplicação Estrita
Quando o domínio de uma companhia aérea não tem aplicação DMARC, um invasor pode enviar um email que parece vir do endereço exato dessa companhia aérea e ele passará diretamente para a caixa de entrada do destinatário – indistinguível de uma comunicação genuína.
Os cenários de ataque são específicos e de alto valor:
Confirmações de reserva falsas. Depois que um viajante faz uma reserva real, um invasor pode enviar uma mensagem falsificada de “pagamento falhou” ou “a reserva requer confirmação” do domínio da companhia aérea. O viajante, esperando um email dessa empresa, clica no link e fornece credenciais de pagamento para um site fraudulento.
Avisos de cancelamento fraudulentos. Emails de cancelamento ou remarcação falsificados criam urgência que leva os viajantes a agir rapidamente, muitas vezes sem verificar a fonte. Essas mensagens são especialmente eficazes durante os períodos de pico de viagens, quando mudanças de voo são frequentes e os viajantes ficam ansiosos com possíveis interrupções.
Roubo de programas de fidelidade. Contas de passageiro frequente são alvos de alto valor. Emails falsificados de “verifique sua conta” ou “atividade incomum detectada” de domínios de companhias aéreas são usados para capturar credenciais e esvaziar milhas acumuladas.
Vendas adicionais de serviços. Os viajantes estão acostumados a receber ofertas de upgrade de assento e embarque antecipado das companhias aéreas. Um email falsificado oferecendo um upgrade pago é difícil de distinguir de uma comunicação legítima quando chega do domínio de envio real da companhia aérea.
O Panorama por Região
A análise da Proofpoint descobriu que as lacunas de aplicação DMARC existem em todas as regiões, mas a gravidade varia consideravelmente.
A China e o Norte da Ásia têm a menor taxa de adoção de DMARC entre as regiões membros da IATA: 85 por cento das companhias aéreas nessa região não têm nenhum registro DMARC, e 100 por cento não implementaram p=reject – o que significa que zero companhias aéreas nessa região estão bloqueando ativamente emails fraudulentos enviados em seu nome.
A Europa e o Oriente Médio e África têm cada uma 93 por cento das companhias aéreas sem aplicação de p=reject. A APAC e as Américas são marginalmente melhores com 89 por cento sem aplicação – embora “marginalmente melhor” seja um termo difícil de usar quando a cifra ainda significa que a grande maioria das companhias aéreas nessas regiões não protege seus domínios no nível mais estrito.
Um detalhe que merece atenção: a própria IATA – a organização do setor – implementou uma política completa de p=reject. A associação cujos membros representam coletivamente 82 por cento do tráfego aéreo global tem a proteção correta em vigor. Seus membros, como grupo, não têm.
O Contexto de Verão Não É Casual
As companhias aéreas enviam mais emails durante a temporada de pico de viagens do que em qualquer outro momento do ano. Os volumes de reservas são elevados. As notificações de mudanças de voo são frequentes. Os viajantes recebem comunicações de múltiplas companhias aéreas, hotéis, locadoras de veículos e fornecedores de seguros simultaneamente – criando exatamente o ambiente barulhento no qual um email falsificado é mais difícil de identificar.
Pesquisadores que rastreiam fraudes relacionadas a viagens documentaram um aumento de 340 por cento nas fraudes de reservas de férias em 2026. Dados de pesquisas mostram que 38 por cento dos viajantes afirmam ter encontrado um golpe relacionado a viagens – e daqueles que o encontraram, 41 por cento perderam dinheiro, com quase metade perdendo 500 dólares ou mais.
O FBI emitiu um aviso dedicado para as viagens de verão de 2026 citando especificamente emails falsificados de confirmação de reservas de companhias aéreas e hotéis como o principal mecanismo de entrega para campanhas de phishing relacionadas a viagens. O mecanismo que o FBI descreve – receber um email que parece vir de uma companhia aérea, contendo um link para uma página fraudulenta de pagamento ou verificação – é exatamente o que a aplicação DMARC em p=reject é projetada para prevenir no nível do servidor.
Por Que as Companhias Aéreas Especificamente Têm Dificuldades com DMARC
As companhias aéreas operam alguns dos ambientes de envio de email mais complexos de qualquer setor. Uma grande companhia aérea normalmente tem dezenas de remetentes autorizados: a plataforma principal de reservas e fidelidade, serviços externos de notificação do status de voo, comunicações de cartões de crédito com marca compartilhada, mailings de agências de viagens e alertas operacionais de companhias aéreas parceiras em código compartilhado.
Essa complexidade torna o alinhamento SPF e a assinatura DKIM que o DMARC exige mais difíceis de implementar corretamente em todos os remetentes autorizados. O registro SPF de uma grande companhia aérea muitas vezes já está próximo do limite de 10 consultas, e garantir que cada sistema de envio tenha o DKIM corretamente configurado exige esforço coordenado em múltiplos relacionamentos com fornecedores simultaneamente.
Essa complexidade é um desafio real para a aplicação estrita. Ela não explica os 61 por cento das companhias aéreas que não têm nenhum registro DMARC.
Uma política p=none – o ponto de partida que fornece relatórios sem afetar o fluxo de correio – requer apenas um único registro DNS TXT e zero alterações na infraestrutura de email existente. Publicar p=none transforma um domínio de invisível a monitorado. Não bloqueia nenhum correio. Não requer coordenação com cada ESP ou fornecedor de notificações. É o passo mínimo, e quase dois terços das companhias aéreas membros da IATA não o deram.
DMARC como Proteção ao Passageiro
A maioria das discussões sobre DMARC enquadra o padrão da perspectiva do proprietário do domínio: ele impede que seu domínio seja usado para atacar outras pessoas. Essa perspectiva é precisa, mas incompleta.
Para os viajantes, a aplicação DMARC em p=reject no domínio da companhia aérea significa que uma confirmação de reserva falsificada não pode chegá-los – não porque seu cliente de email a sinalizou, mas porque o servidor receptor a rejeitou no nível SMTP antes de entrar em sua caixa de entrada. A proteção opera completamente antes de chegar ao destinatário.
Quando uma companhia aérea não aplica DMARC, essa proteção não existe. Se uma mensagem alegando vir da companhia aérea é genuína ou fraudulenta é uma pergunta que o servidor de correio receptor não consegue responder de forma autoritativa. Os criminosos que entendem os padrões de aplicação DMARC visam especificamente os domínios sem aplicação porque a ausência de uma política p=reject garante às suas mensagens falsificadas um caminho livre para a caixa de entrada.
A cifra de 93 por cento não é um setor em progresso em direção à proteção. É um setor que, em conjunto, ainda não decidiu que proteger o canal de email usado por seus clientes é uma prioridade. A alta temporada de viagens de verão é o período em que o custo dessa decisão recai mais diretamente sobre os passageiros.
Pronto para proteger seu domínio de envio da forma como sua companhia aérea deveria? O Excello Mail torna o monitoramento e a aplicação do DMARC simples – do primeiro registro DNS ao p=reject completo. Cadastre-se gratuitamente no Excello Mail e veja exatamente o que está sendo enviado em nome do seu domínio.