Um registro DMARC não é o mesmo que proteção DMARC. Essa distinção tem sido clara para quem trabalha com autenticação de e-mail há anos, mas o Relatório de Adoção e Aplicação de DMARC 2026 da EasyDMARC, elaborado a partir da análise de 1,8 milhão de domínios entre a Fortune 500 e a Inc. 5000, torna a lacuna impossível de ignorar. Dos 938.000 domínios que publicaram um registro DMARC, apenas cerca de 9 por cento – aproximadamente 159.000 domínios – combinam uma política de aplicação com relatórios agregados. Os outros 91 por cento têm um registro. Eles não têm proteção.
O Que os Números Realmente Mostram
A EasyDMARC analisou os 1,8 milhão de domínios mais importantes do mundo, incluindo todas as empresas das listas Fortune 500 e Inc. 5000. A adoção geral de DMARC atingiu 52,1 por cento desse universo, ante 47,7 por cento em 2025. O número bruto cresceu de 858.782 domínios habilitados para DMARC em 2025 para 937.931 no início de 2026 – um aumento significativo que reflete a pressão exercida pela política de rejeição permanente do Google para remetentes em massa e o prazo de conformidade da Microsoft em maio de 2025.
O título de adoção parece encorajador. O detalhe de aplicação não.
Dos 937.931 domínios com registros DMARC válidos, 411.935 alcançaram uma política de nível de aplicação (p=quarantine ou p=reject). Isso significa que 525.996 domínios – mais da metade dos que têm registros – estão em p=none, uma política de monitoramento que gera relatórios mas instrui os servidores de e-mail receptores a não fazer nada com mensagens que falham na autenticação. Um domínio em p=none não está protegido. Um invasor que falsifique esse domínio não enfrenta nenhuma barreira técnica para a entrega na caixa de entrada.
Mais marcante ainda é a lacuna nos relatórios. Mais de 70 por cento dos domínios habilitados para DMARC globalmente não configuraram uma tag RUA – o endereço de relatório que faz com que os servidores de e-mail receptores enviem dados agregados de volta ao proprietário do domínio. Um domínio com política de aplicação mas sem relatórios está operando às cegas. Está bloqueando e-mails não autenticados, mas não tem mecanismo para saber quais fontes de envio legítimas também pode estar bloqueando, nem para detectar se uma nova infraestrutura de ataque está falsificando o domínio com uma política que ainda não o cobre.
O critério de proteção real – política de aplicação mais relatórios agregados – é atendido por aproximadamente 159.691 domínios no conjunto de dados da EasyDMARC. Isso é 9 por cento dos domínios com registros DMARC e aproximadamente 4,6 por cento do universo completo de 1,8 milhão de domínios analisados.
A Divisão entre Fortune 500 e Inc. 5000
A lacuna parece muito diferente dependendo do tamanho e da idade da organização.
Entre a Fortune 500, 475 de 500 empresas – 95 por cento – têm registros DMARC válidos. Mais importante ainda, 62,7 por cento das empresas Fortune 500 alcançaram p=reject, o nível mais rigoroso de aplicação, que instrui todos os servidores de e-mail participantes a rejeitar diretamente qualquer mensagem que falhe na autenticação contra o domínio protegido. Essas são organizações com equipes de segurança dedicadas, especialistas em operações de e-mail e anos de investimento em infraestrutura que torna a aplicação de DMARC operacionalmente viável.
Entre a Inc. 5000 – as empresas privadas de crescimento mais rápido dos Estados Unidos, com forte presença de negócios em expansão e médias empresas – o panorama é fundamentalmente diferente. A adoção é sólida com 76,2 por cento. A aplicação não é. Apenas 15,2 por cento das empresas da Inc. 5000 alcançaram p=reject. Mais da metade permanece em p=none, a política apenas de monitoramento. A proporção de aplicação de quatro para um entre as empresas Fortune 500 e Inc. 5000 (62,7 por cento versus 15,2 por cento em p=reject) define o que a EasyDMARC chama de “a divisão crescente.”
Por Que Empresas em Crescimento Ficam Para Trás
A lacuna de aplicação entre grandes empresas e empresas de crescimento acelerado não se deve principalmente à falta de consciência. A maioria das empresas da Inc. 5000 que adotou DMARC entende o que significa aplicação. A barreira é a complexidade operacional.
Uma empresa Fortune 500 provavelmente tem um programa de e-mail consolidado gerenciado por uma equipe dedicada. Quando essa equipe passa de p=none para p=quarantine, pode sistematicamente analisar os relatórios agregados de DMARC, identificar cada fonte de envio autorizada, garantir que cada uma esteja corretamente alinhada para SPF ou DKIM e então avançar para p=reject com confiança.
Uma empresa de crescimento acelerado da Inc. 5000 frequentemente tem o problema oposto. Anos de crescimento rápido geralmente significam anos de adoção de SaaS sem supervisão central. Marketing usa três provedores de serviços de e-mail. Vendas usa uma ferramenta de sequenciamento de saída. RH usa uma plataforma de notificações de benefícios. TI usa um serviço de alertas. Financeiro usa um sistema de notificações de pagamento. Cada um desses serviços envia e-mail de ou em nome do domínio da empresa. Cada um precisa ser autorizado no SPF ou coberto pelo DKIM antes que p=reject possa ser implementado sem interromper o fluxo de e-mail legítimo.
Os dados da EasyDMARC capturam essa dinâmica com precisão. Entre as empresas da Inc. 5000 com registros DMARC, apenas 67,4 por cento configuraram relatórios agregados RUA – o que significa que quase um terço não tem visibilidade para sequer entender seu cenário de envio atual antes de tentar a aplicação. Você não pode aplicar uma política que não consegue ver.
Quem os Invasores Atacam
A lacuna de aplicação não é meramente um problema de conformidade. É um sinal de alvo.
Operações sofisticadas de comprometimento de e-mail empresarial e campanhas de falsificação de domínio verificam rotineiramente se um domínio alvo tem aplicação DMARC antes de decidir como proceder. Um domínio em p=reject exige que o invasor invista em um domínio semelhante (o que leva tempo, custa dinheiro e é mais detectável). Um domínio em p=none pode ser falsificado diretamente, sem custo adicional, com a mensagem alegando se originar do domínio legítimo exato. Para um invasor executando uma campanha de falsificação de fornecedor ou mirando o departamento financeiro de uma empresa, o registro WHOIS e a política DMARC são duas das primeiras coisas que ele verifica.
Empresas da Inc. 5000 – empresas em crescimento com receita em expansão, transferências bancárias frequentes, relações ativas com fornecedores e frequentemente posturas de segurança menos maduras do que suas contrapartes da Fortune 500 – representam exatamente o tipo de alvo que se beneficia da falsificação direta de domínio. Mais de 50 por cento delas são acessíveis por esse método agora mesmo.
O Caminho da Conformidade para a Aplicação
O relatório da EasyDMARC enquadra 2026 como a transição do setor da adoção impulsionada por conformidade para a aplicação impulsionada por maturidade. A fase de conformidade foi direta: publicar um registro DMARC para evitar ser rejeitado pelos requisitos de remetentes em massa do Google ou da Microsoft. A fase de maturidade exige algo mais difícil: entender quem envia e-mail em seu nome, alinhar cada fonte legítima e mover a política para um nível que realmente impeça e-mails não autorizados.
Esse caminho tem quatro etapas práticas.
Comece com relatórios agregados configurados e um endereço receptor monitorado. Um registro DMARC sem tag RUA é quase inútil para o planejamento de aplicação – não fornece dados.
Use os dados agregados para mapear cada fonte de envio. Cada endereço IP e domínio que aparece nos relatórios DMARC que não está já autorizado representa uma lacuna a corrigir ou uma fonte a eliminar.
Alinhe cada fonte legítima. Para SPF, isso significa garantir que o IP do servidor de envio esteja coberto no registro SPF do domínio de envio. Para DKIM, significa confirmar que o domínio de assinatura corresponde ao domínio do cabeçalho From: (ou ao domínio do envelope em uma configuração de alinhamento relaxado). Serviços de e-mail de terceiros geralmente oferecem documentação para esta etapa; o desafio é saber que cada serviço precisa dela.
Avance a política em etapas. Mova de p=none para p=quarantine primeiro, monitore se há e-mails legítimos sendo colocados em quarentena, resolva as lacunas e então mova para p=reject. A abordagem em etapas minimiza o risco de bloquear e-mails que deveriam ser entregues.
A infraestrutura de relatórios não é opcional. É o ciclo de feedback que torna a aplicação possível.
Os dados da EasyDMARC traçam uma linha clara: grandes empresas aplicam, empresas em crescimento monitoram, e os invasores conhecem a diferença. Se o seu registro DMARC está em p=none, seu domínio ainda está disponível para falsificação. Cadastre-se gratuitamente no Excello Mail para obter as ferramentas de monitoramento, alinhamento e gerenciamento de políticas que transformam um registro DMARC em proteção real.