Ter um registro DMARC e realmente usá-lo para bloquear e-mails falsificados são, na prática, duas coisas muito diferentes. O Relatório de Estado do DMARC 2026 da Valimail documenta essa lacuna com precisão incomum: a adoção do DMARC – o percentual de domínios que publicaram qualquer registro DMARC – chegou a 78%. A aplicação efetiva – o percentual que configurou essa política como quarantine ou reject, ou seja, que realmente bloqueia e-mails falsificados – está em apenas 42%.
Essa lacuna de 36 pontos percentuais não é uma distinção menor. É a janela exata que uma crescente onda de ferramentas de personificação impulsionadas por inteligência artificial foi projetada para explorar, e o principal achado do relatório – “A proteção do e-mail está estagnada enquanto a personificação por IA atinge recordes históricos” – descreve exatamente o que está acontecendo nesse espaço.
O Que os Níveis de Política Realmente Significam
A distinção importa porque os três valores de política DMARC disponíveis não são equivalentes:
p=nonepublica um registro e solicita relatórios agregados, mas instrui os servidores receptores a entregar a mensagem independentemente do resultado da autenticação. O proprietário do domínio fica sabendo que a falsificação está ocorrendo; o e-mail falsificado ainda chega à caixa de entrada.p=quarantineencaminha mensagens reprovadas para a pasta de spam ou lixo eletrônico.p=rejectinstrui os servidores receptores a descartar completamente as mensagens reprovadas.
Somente as políticas quarantine e reject bloqueiam a entrega de e-mails falsificados. O índice de 78% de adoção captura todos que têm qualquer registro DMARC no DNS. O índice de 42% de aplicação captura apenas aqueles cuja política realmente impede algo.
O Relatório de Adoção 2026 paralelo da EasyDMARC, que examinou mais de 1,8 milhão de domínios, descobriu que dos 937.931 domínios com registros DMARC válidos, 525.996 – mais da metade – permanecem presos em p=none. Um domínio em p=none anunciou a intenção de eventualmente se proteger. Mas ainda não se protegeu de fato.
A Aceleração da IA
O que torna a lacuna de aplicação especialmente perigosa em 2026 é o que os atacantes agora podem fazer com ela. A Valimail rastreou mais de 2,5 bilhões de e-mails suspeitos em nome de seus clientes somente em 2025 – um número que reflete não ruído aleatório, mas campanhas de personificação direcionadas a organizações e indivíduos específicos.
A IA reduz o custo e eleva simultaneamente o teto de qualidade dos ataques de personificação. Produzir um e-mail de phishing convincente que imite de perto o estilo de comunicação de um executivo exigia antes pesquisa, tempo e um certo nível de habilidade linguística. Os modelos de linguagem atuais geram esses iscas em segundos, personalizados para o destinatário, indistinguíveis de texto escrito por humanos. A camada de engenharia social do ataque foi industrializada.
A camada de autenticação – a parte que determina se um e-mail que diz vir de um domínio é realmente autorizado por esse domínio – não acompanhou esse ritmo. Um domínio em p=none não oferece resistência a esse ataque. A isca escrita por IA chega sem nenhum obstáculo.
Onde as Lacunas São Maiores
O relatório da Valimail detalha as taxas de aplicação por setor, e o contraste entre setores é impressionante. O Varejo Online lidera, com 72,73% dos domínios com políticas de aplicação efetiva. A Manufatura fica em segundo lugar com 67,61%. Esses setores normalizaram a aplicação do DMARC ao ponto de torná-la uma base operacional padrão, não mais um projeto de segurança.
Os setores regulamentados contam uma história mais complicada. Serviços Financeiros está em 59,18% de aplicação e Saúde em 57,42%. Ambos os setores enfrentam requisitos de relatórios obrigatórios que impulsionaram a adoção. Mas adoção e aplicação efetiva não são o mesmo requisito. Organizações em ambos os setores que publicaram um registro p=none para satisfazer uma caixa de seleção de auditoria cumpriram tecnicamente o requisito de adoção enquanto permanecem completamente desprotegidas contra e-mails falsificados com seu domínio.
Os setores mais expostos são Artes e Recreação com 31,61% de aplicação e Ensino Superior com 33,71%. As instituições de ensino operam ambientes de envio fragmentados – sistemas de informação estudantil, plataformas de comunicação com ex-alunos, ferramentas de marketing departamentais, sistemas de venda de ingressos para eventos – que criam complexidade suficiente de alinhamento SPF e DKIM para fazer a aplicação parecer arriscada. O resultado é que instituições que lidam com volumes significativos de dados pessoais e transações financeiras de alto valor permanecem com políticas de apenas monitoramento anos depois que o ambiente de ameaças exigiu algo mais robusto.
A Divisão Entre Grandes Empresas e Mercado Médio
A análise em nível de domínio da EasyDMARC revela uma lacuna estrutural entre organizações grandes e médias. As empresas da Fortune 500 quase fecharam a lacuna de aplicação: 475 de 500 têm registros DMARC válidos, mais de 80% estão em políticas de aplicação efetiva, e 62,7% chegaram ao p=reject – a configuração mais robusta disponível.
O cenário é marcadamente diferente um nível abaixo. Entre as empresas da Inc. 5000, apenas 15,2% chegaram ao p=reject. O mercado médio adotou o DMARC amplamente em resposta aos mandatos de autenticação do Gmail, Yahoo e Microsoft, mas não avançou até o estágio de aplicação efetiva. Os mandatos exigiam um registro DMARC. Não exigiam um que realmente bloqueasse algo.
Essa assimetria tem uma consequência prática: atacantes que visam organizações de médio porte enfrentam barreiras de autenticação significativamente menores do que quando atacam as maiores empresas.
BIMI Estagnado em 4%
Brand Indicators for Message Identification – o padrão que exibe o logotipo verificado de uma marca em caixas de entrada compatíveis – continua sendo uma oportunidade de sinalização de confiança amplamente inexplorada. O relatório da Valimail mostra que a adoção global do BIMI está estagnada em apenas 4%, apesar do padrão ser suportado pelo Gmail, Apple Mail e Yahoo Mail.
O BIMI exige uma política DMARC p=quarantine ou p=reject como pré-requisito técnico. Como mais da metade de todos os domínios configurados com DMARC ainda não consegue atender a esse requisito, a baixa adoção do BIMI é parcialmente explicada pela própria lacuna de aplicação. Mas mesmo entre as organizações que alcançaram a aplicação efetiva, a adoção do BIMI é mínima.
Isso pode mudar à medida que o phishing gerado por IA se torna a capacidade padrão dos atacantes. Quando os destinatários não conseguem distinguir texto escrito por IA de texto escrito por humanos, os sinais de identidade visual no nível da caixa de entrada se tornam um dos poucos indicadores restantes de que uma mensagem é genuinamente de quem afirma ser.
O Que Fechar a Lacuna Requer
Os dados da Valimail e da EasyDMARC juntos descrevem um padrão consistente: as organizações adotam o DMARC para cumprir um requisito de conformidade, param em p=none e não avançam porque a aplicação efetiva parece incerta. A incerteza é quase sempre a mesma: preocupação de que alguma fonte de envio legítima não esteja corretamente autenticada, e que passar para a aplicação efetiva bloqueie e-mails reais.
Essa preocupação não é irracional. Grandes organizações têm muitas fontes de envio – plataformas de CRM, ferramentas de automação de marketing, provedores de e-mail transacional, sistemas de suporte ao cliente, aplicações financeiras – e cada uma precisa de configuração correta de SPF e DKIM antes que um domínio possa migrar com segurança para a aplicação efetiva.
O caminho de p=none para p=reject é um processo de descoberta dessas fontes por meio da análise de relatórios agregados, verificação da configuração de autenticação de cada uma, correção das lacunas e escalada incremental da política. Não é uma única alteração de configuração. É um fluxo de trabalho operacional. E para organizações sem infraestrutura dedicada de segurança de e-mail, é o passo que nunca é dado – deixando o domínio permanentemente na janela que os atacantes aprenderam a explorar.
A lacuna que o relatório da Valimail descreve é mensurável, os ataques que a preenchem estão se acelerando e o caminho para fechá-la é bem compreendido. O Excello Mail fornece a análise de relatórios agregados, a descoberta de fontes de envio e as ferramentas de escalada guiada de políticas que movem as organizações do monitoramento para a aplicação efetiva. Cadastre-se gratuitamente no Excello Mail e comece a fechar sua lacuna de aplicação hoje.