Uma mensagem chega. O domínio do remetente parece legítimo. O servidor de e-mail receptor verifica o SPF: aprovado. Verifica a assinatura DKIM: aprovada. Avalia o registro DMARC em relação a ambos os resultados: aprovado. Cada portão de autenticação que a indústria de e-mail passou duas décadas construindo deixa a mensagem passar. O usuário clica no link dentro dela. Suas credenciais são comprometidas em minutos.
Isso não é um cenário teórico. Pesquisadores de segurança da CyberCheck360 documentaram exatamente esse padrão de ataque, rastreando campanhas em que invasores registravam domínios novos por apenas 12 dólares, hospedavam réplicas pixel a pixel de páginas de login do Microsoft 365 para roubo de credenciais e enviavam e-mails a partir desses domínios com registros SPF válidos e assinaturas DKIM legítimas. As mensagens não falhavam na autenticação. Não foram projetadas para isso. A infraestrutura de autenticação funcionou exatamente como foi projetada – e esse é precisamente o problema.
O que a autenticação de e-mail realmente prova
Os protocolos de autenticação de e-mail – SPF, DKIM e DMARC – foram projetados para resolver um problema específico: o uso não autorizado de um nome de domínio no cabeçalho From: de uma mensagem de e-mail. O SPF verifica se o servidor de envio está autorizado a enviar em nome do domínio remetente do envelope. O DKIM verifica se o conteúdo da mensagem não foi alterado em trânsito e foi assinado com uma chave associada a um domínio específico. O DMARC vincula os dois e especifica o que fazer quando falham.
O que nenhum desses protocolos verifica é se o domínio no cabeçalho From: é o que o destinatário espera, se o conteúdo da mensagem é seguro, ou se os links dentro da mensagem levam a algum lugar legítimo. Um domínio registrado ontem com um nome escolhido para se parecer com uma marca confiável – microsoftsecurityalert[.]com, portal-faturas-pagamentos[.]net, login-seguro-seu-banco[.]com – pode ter registros SPF e DKIM válidos publicados em minutos após o registro. Um e-mail enviado a partir desse domínio, para qualquer destinatário, passará nas três verificações de autenticação com aprovação plena.
O DMARC não é um filtro de conteúdo. É uma estrutura de autorização. Ele responde à pergunta: “Essa mensagem veio de um servidor que o proprietário do domínio autorizou?” Não responde: “O proprietário deste domínio é confiável?” Essas são perguntas diferentes, e confundi-las se tornou uma das lacunas mais exploradas na segurança de e-mail corporativo.
O ataque de 12 dólares que a autenticação não consegue parar
A pesquisa da CyberCheck360 mapeou uma metodologia de ataque repetível que se tornou perturbadoramente rotineira.
No primeiro dia, o invasor registra um domínio. O custo de registro é tipicamente inferior a 15 dólares em qualquer registrador comercial, não requer verificação de identidade na maioria das jurisdições e pode ser concluído anonimamente por meio de serviços de proxy de privacidade. Simultaneamente, o invasor configura a hospedagem para uma página de coleta de credenciais – geralmente uma réplica quase perfeita de uma página de login do Microsoft 365, do Google Workspace ou de uma VPN corporativa, construída a partir de ativos HTML roubados ou revertidos.
No segundo dia, o invasor publica um registro SPF autorizando sua infraestrutura de envio e gera chaves de assinatura DKIM, publicando a chave pública como um registro TXT de DNS sob o novo domínio. Nenhuma dessas ações aciona qualquer alerta. A propagação de DNS é concluída em minutos a horas.
Até o terceiro dia – às vezes antes – o invasor já está enviando e-mails. As mensagens afirmam ser notificações urgentes: uma fatura que requer aprovação, um documento compartilhado que requer assinatura, um alerta de segurança que requer ação imediata. O cabeçalho From: exibe o novo domínio. O corpo da mensagem contém um único link para a página de coleta. SPF: aprovado. DKIM: aprovado. DMARC: aprovado. A entrega na caixa de entrada segue.
Toda a infraestrutura, do registro do domínio à coleta de credenciais, pode estar operacional em 72 horas e custa menos do que um jantar para dois. Os protocolos de autenticação que os servidores de e-mail receptores verificam retornam resultados uniformemente positivos durante todo o processo.
Por que “apenas verificar a autenticação” não é suficiente
A resposta da indústria a essa pesquisa expôs um equívoco generalizado sobre o que a aplicação do DMARC alcança.
A aplicação do DMARC – especificamente uma política p=reject – é genuinamente valiosa. Ela impede que invasores falsifiquem seu domínio no cabeçalho From: de mensagens enviadas a outras pessoas. Se um invasor quiser enviar e-mail afirmando vir de suamarca.com e seu domínio tiver uma política p=reject com alinhamento adequado, os servidores de e-mail participantes rejeitarão essas mensagens. Isso é proteção significativa contra falsificação direta.
O que a aplicação do DMARC não pode fazer é impedir que um invasor registre um domínio diferente e envie a partir dele. A política p=reject em suamarca.com não diz nada sobre o que acontece com e-mail de suamarca-faturas.com, suamarca-seguro.net, ou qualquer um dos cerca de 300.000 novos domínios registrados diariamente. Cada um desses domínios é um potencial veículo de falsificação, e cada um pode ter seus próprios registros válidos de SPF, DKIM e DMARC.
A equipe de pesquisa documentou um aumento de 34 por cento em domínios recém-registrados usados para campanhas de phishing entre o quarto trimestre de 2025 e o primeiro de 2026. A grande maioria desses domínios foi configurada com registros de autenticação válidos antes de o primeiro e-mail de phishing ser enviado. Eles não precisavam contornar a autenticação. Eles construíram a própria.
A lacuna de detecção que isso cria para as organizações
Para as equipes de segurança, a campanha de phishing que passa na autenticação cria um problema de detecção que fica fora do conjunto de ferramentas tradicional de segurança de e-mail.
A maioria dos gateways de segurança de e-mail corporativos toma decisões de filtragem com base em uma combinação de reputação do remetente, resultados de autenticação, análise de conteúdo e varredura de links. A reputação do remetente é ineficaz contra domínios recém-registrados – eles não têm reputação, o que é neutro em vez de negativo. Os resultados de autenticação são positivos por design. A análise de conteúdo foi derrotada por modelos de mensagens minimalistas que contêm pouco texto e um único link. A varredura de links no momento da entrega avalia a URL, não o conteúdo da página de destino, e a página de coleta muitas vezes não é ativada até depois que a varredura de entrega inicial é concluída.
Isso não é uma falha de nenhum produto de segurança individual. É uma lacuna estrutural criada pela incompatibilidade entre o que os protocolos de autenticação verificam e o que os invasores estão realmente fazendo.
As organizações mais bem posicionadas para detectar essa classe de ataque compartilham várias características. Elas monitoram os registros de domínios que se assemelham à sua marca ou às marcas de seus principais parceiros. Analisam a infraestrutura de envio completa por trás de cada mensagem, não apenas o resultado da autenticação. Aplicam a inteligência de phishing relatada pelos usuários com rapidez suficiente para que uma campanha ativa às 9h seja bloqueada para o restante da organização às 9h05. E fundamentalmente – garantem que sua própria autenticação esteja devidamente protegida para que os invasores não possam explorar simultaneamente o vetor de falsificação direta junto com o vetor de domínio semelhante.
O que uma postura de autenticação completa realmente requer
As descobertas da CyberCheck360 não devem ser lidas como um argumento contra a implantação do DMARC. Devem ser lidas como uma correção a um argumento mais restrito: que o DMARC por si só é suficiente.
Uma postura de autenticação de e-mail abrangente para 2026 tem no mínimo quatro componentes.
Aplique a política em seu próprio domínio. Uma política DMARC p=reject, com SPF e DKIM devidamente alinhados, fecha completamente o vetor de falsificação direta para servidores de e-mail participantes. Esse é o requisito de base, não o teto. Se seu domínio está em p=none, os invasores têm dois caminhos de ataque disponíveis: domínios semelhantes e falsificação direta. A aplicação da política fecha um deles.
Monitore os resultados de autenticação de entrada junto com outros sinais. Os resultados de autenticação DMARC no e-mail de entrada informam que uma mensagem veio de um servidor autorizado para seu domínio declarado. Eles não informam se o domínio é confiável. Sistemas que combinam resultados de autenticação com idade do domínio, histórico de registro, reputação de infraestrutura e sinais comportamentais em toda a organização receptora fecham mais a lacuna.
Implemente BIMI onde possível. Os Indicadores de Marca para Identificação de Mensagens, embora não seja em si mesmo um protocolo de autenticação, requerem Certificados de Marca Verificados emitidos para proprietários de domínio confirmados. Um domínio elegível para BIMI com um VMC passou por verificação de identidade que um domínio de 12 dólares não consegue realizar. Destinatários treinados para reconhecer os indicadores de marca verificados pelo BIMI têm um sinal visual adicional que um domínio semelhante que passa na autenticação não pode fornecer.
Trate os relatórios agregados como inteligência de ameaças, não como dados de conformidade. Os relatórios agregados do DMARC descrevem quem está enviando e-mails que afirmam vir do seu domínio. Organizações que encaminham esses dados para seu fluxo de trabalho de inteligência de ameaças – observando infraestrutura de envio desconhecida, intervalos de IP associados a atores de ameaças conhecidos, ou anomalias geográficas – frequentemente detectam a infraestrutura de campanha antes que ela seja usada ativamente contra seus destinatários.
A responsabilidade do remetente neste cenário
Há uma dimensão do paradoxo da autenticação que afeta diretamente as organizações que enviam e-mail, não apenas as que o recebem.
A mesma mudança que torna possível o phishing que passa na autenticação – a facilidade de registrar domínios semelhantes com registros de autenticação válidos – tornou a entregabilidade consideravelmente mais difícil para remetentes legítimos. Os provedores de e-mail receptores estão sob pressão para classificar com alta suspeita as mensagens que passam na autenticação, mas se originam em domínios de baixa reputação ou recém-registrados. O impacto colateral dessa pressão recai sobre remetentes pequenos e médios cuja infraestrutura legítima tem um histórico de reputação escasso ou volume de envio intermitente.
A consequência prática é que a autenticação é necessária, mas não suficiente para a colocação na caixa de entrada. Remetentes que desejam entregabilidade consistente precisam de autenticação sólida como base, depois adicionam camadas de histórico de engajamento, idade do domínio, higiene da lista e taxas de reclamação sobre ela. Uma mensagem autenticada de um domínio que os destinatários consistentemente ignoram, marcam como spam ou nunca interagem acabará na pasta de lixo eletrônico independentemente dos resultados aprovados de SPF/DKIM/DMARC.
DMARC, SPF e DKIM são essenciais – e são o ponto de partida, não a linha de chegada. Cadastre-se gratuitamente no Excello Mail para obter autenticação pronta para aplicação de políticas, relatórios agregados em tempo real e o monitoramento de entregabilidade que transforma autenticação aprovada em confiança real na caixa de entrada.