O Relatório de Adoção DMARC 2026 da EasyDMARC, elaborado a partir da análise dos 1,8 milhão de domínios globais mais relevantes, contém uma descoberta que merece mais atenção do que tem recebido: mais de 70 por cento dos domínios com DMARC habilitado não possuem relatórios agregados configurados.
Essas organizações publicaram um registro DMARC. Elas estão contadas nos 52,1 por cento da taxa de adoção. Mas não adicionaram nenhuma tag rua= para receber relatórios agregados, o que significa que não têm como ver quem está enviando e-mails que afirmam ser provenientes de seu domínio.
Essa lacuna define um dos problemas estruturais na autenticação de e-mail em 2026: adoção e visibilidade não são a mesma coisa. Um registro DMARC sem relatórios é uma política sem retroalimentação. E uma política sem retroalimentação não pode ser aplicada com segurança.
O Que os Relatórios Agregados Realmente Dizem
Os relatórios agregados DMARC – especificados no RFC 7489 e preservados no recém-publicado RFC 9989 – são documentos XML que os servidores de e-mail receptores enviam de volta ao proprietário do domínio de forma programada, tipicamente uma vez por dia. Cada relatório cobre uma janela de 24 horas e contém um registro de cada endereço IP que enviou e-mail afirmando ser originário do domínio durante esse período.
Para cada fonte de envio, o relatório inclui os resultados de autenticação: o SPF passou, o DKIM passou, e a combinação atendeu aos requisitos de alinhamento para o DMARC? Também inclui contagens de mensagens, para que os proprietários de domínio possam ver o volume atribuído a cada fonte.
Esses dados respondem a perguntas que nenhuma outra fonte consegue responder. Você pode ver se o seu provedor de serviços de e-mail está autenticando corretamente o e-mail. Pode ver se um antigo domínio de envio ainda está gerando tráfego que você pensava ter sido desativado. Pode ver se um servidor não autorizado está enviando e-mail que afirma ser do seu domínio – e se esse e-mail está passando ou falhando na autenticação.
Sem uma tag rua= no seu registro DMARC, nenhum desses relatórios chega até você. Os servidores receptores os geram e os descartam. A inteligência existe. Simplesmente nunca é entregue.
O Caminho de p=none para p=reject Passa Pelos Seus Relatórios
A sequência padrão de implantação do DMARC – publicar p=none, revisar relatórios, identificar todas as fontes de envio legítimas, passar para p=quarantine, depois para p=reject – existe precisamente porque a aplicação requer visibilidade verificada. Não é possível colocar e-mails em quarentena ou rejeitá-los com segurança até saber que todas as fontes de envio legítimas estão corretamente autenticadas.
Organizações que pulam os relatórios agregados no estágio p=none não têm base para fazer esse julgamento. Elas não recebem nenhum sinal do ecossistema de e-mail sobre o que seu domínio está enviando ou como a autenticação está sendo resolvida. Elas ou nunca avançam para a aplicação, ou avançam para a aplicação e interrompem fluxos de e-mail legítimos que não sabiam que existiam.
Os dados da EasyDMARC mostram essa dinâmica em operação. Dos 52,1 por cento dos domínios mais importantes com registros DMARC, apenas 43,9 por cento aplicam uma política de aplicação – p=quarantine ou p=reject. A maioria presa em p=none não é principalmente uma população de organizações que não se preocupam com a aplicação. Inclui uma parte substancial de organizações que publicaram registros DMARC para fins de conformidade regulatória, definiram a política como p=none porque é o que qualquer guia de configuração recomenda como ponto de partida seguro, e então pararam. Não adicionaram relatórios. Sem relatórios, não há caminho a seguir.
A Lacuna de Dados Tem uma Consequência de Segurança
O efeito prático da lacuna nos relatórios é que mais de 70 por cento dos domínios com DMARC habilitado são invisíveis para si mesmos. Um atacante pode estar usando seu domínio em uma campanha de phishing hoje mesmo. Se essas mensagens de phishing falharem no DMARC, os servidores de e-mail receptores podem estar gerando relatórios agregados documentando cada endereço IP envolvido na campanha. Esses relatórios não vão a lugar algum, porque não há nenhuma tag rua= para direcioná-los.
Se o atacante usar infraestrutura que passa no alinhamento SPF – um remetente externo mal configurado mas já autorizado no registro SPF – as mensagens podem estar chegando aos destinatários. Sem relatórios agregados, o proprietário do domínio não tem nenhum sinal de que isso está acontecendo.
Nenhum desses cenários é detectável apenas pelo registro DMARC. O registro é uma declaração de política. Os relatórios são o mecanismo de retroalimentação que torna a política significativa. Um sem o outro é uma implementação incompleta.
Como Fechar a Lacuna de Relatórios
Adicionar relatórios agregados a um registro DMARC existente é uma única alteração de DNS. A tag rua= aceita um endereço de e-mail ou URI que os servidores de e-mail receptores devem usar para entregar os relatórios. Uma configuração mínima tem esta aparência:
v=DMARC1; p=none; rua=mailto:[email protected];
O endereço não precisa estar no mesmo domínio que o registro DMARC, mas se estiver em um domínio diferente, esse domínio precisa publicar um registro de consentimento no DNS. A maioria das organizações direciona os relatórios para uma caixa de entrada dedicada, um serviço de relatórios DMARC, ou ambos.
Os relatórios chegam como anexos XML, que são difíceis de interpretar manualmente em qualquer volume. Uma ferramenta de relatórios DMARC analisa o XML, agrega resultados de servidores receptores e apresenta os dados em um formato que mostra quais fontes de envio estão passando, quais estão falhando e quais fontes desconhecidas estão gerando tráfego contra seu domínio.
Com essa visibilidade, o caminho para a aplicação torna-se um processo estruturado em vez de um risco. Você identifica cada fonte de envio, confirma que está autenticada corretamente e avança para a aplicação apenas depois que todas as fontes legítimas estão verificadas. As organizações em p=reject nos dados da EasyDMARC têm relatórios configurados de forma avassaladora. Isso não é coincidência.
O Que os Números Dizem Sobre a Segurança de E-mail em 2026
O índice de adoção do DMARC de 52,1 por cento representa um progresso genuíno. Cada domínio que avança de nenhum registro DMARC para algum registro DMARC elevou o nível geral de autenticação de e-mail e iniciou o processo que eventualmente leva à aplicação.
Mas a lacuna de 70 por cento nos relatórios conta uma história mais específica: estatísticas de adoção e estatísticas de proteção medem coisas diferentes.
Um domínio com p=none e sem relatórios deu o primeiro passo. Não protegeu nada. A proteção vem da aplicação. A aplicação vem da visibilidade. A visibilidade vem dos relatórios agregados.
As organizações que completaram esse caminho – os 43,9 por cento em p=quarantine ou p=reject – quase certamente chegaram lá porque leram seus relatórios e usaram esses dados para validar sua infraestrutura de envio antes de apertar a política. Os mais de 70 por cento sem relatórios ainda não começaram essa parte da jornada.
O relatório da EasyDMARC também descobriu que 95 por cento das empresas da Fortune 500 implementaram o DMARC, com mais de 80 por cento aplicando políticas que bloqueiam ativamente e-mails não autorizados. Em contraste, pouco mais de 50 por cento das organizações da Inc. 5000 continuam dependendo de políticas apenas de monitoramento. A divisão entre empresas que completaram a aplicação e organizações de médio porte que não completaram se corresponde de perto com quais organizações leram e agiram com base em seus relatórios agregados.
Os relatórios agregados não são um recurso avançado. São o mecanismo em torno do qual o protocolo foi construído. Publicar DMARC sem eles é como instalar uma câmera de segurança sem gravação: a política está em vigor, mas as evidências nunca se acumulam.
O Excello Mail oferece o processamento de relatórios agregados DMARC integrado na mesma plataforma que você usa para gerenciar a configuração de autenticação do seu e-mail. Adicione seu endereço rua=, conecte seu domínio e comece a ler os dados que mostram quem está enviando em seu nome. Cadastre-se gratuitamente no Excello Mail e transforme seu registro DMARC em um sinal de segurança ativo.