A Proofpoint publicou esta semana uma nova pesquisa sobre o estado da autenticacao de e-mail entre as empresas Fortune 100 da India, e o numero principal contraria a narrativa habitual. A adocao nao e o problema. 97% dessas empresas publicaram um registro DMARC. O que a Proofpoint encontrou, em vez disso, foi uma lacuna de aplicacao: 41% delas pararam em uma politica que monitora ou coloca em quarentena e-mails suspeitos, em vez de uma que os rejeita diretamente. Apenas 59% avancaram para p=reject, a configuracao que de fato instrui os servidores receptores a recusar mensagens que falham na autenticacao.
Essa distincao, entre publicar um registro e aplicar uma politica, nao e um detalhe tecnico. E a diferenca entre um dominio que parece protegido em uma lista de verificacao de conformidade e um que esta realmente protegido na caixa de entrada contra phishing.
Um Registro Nao E Uma Politica
O DMARC tem tres configuracoes de politica relevantes: p=none, que pede aos servidores receptores que nao facam nada alem de reportar falhas, p=quarantine, que pede que enviem o e-mail suspeito para o spam, e p=reject, que pede que o rejeitem diretamente. Um dominio parado em p=none continua gerando relatorios agregados e continua aparecendo em uma auditoria como “com DMARC”, mas nao autoriza que nada seja de fato bloqueado. Atacantes que falsificam esse dominio obtem exatamente as mesmas chances de entrega que teriam sem nenhum registro DMARC.
A descoberta da Proofpoint de que 41% das empresas Fortune 100 da India nao chegaram a p=reject significa que mais de um terco das marcas corporativas mais reconhecidas e confiaveis do pais, os nomes nos quais os clientes ja depositam confianca automatica, ainda deixam essa confianca desprotegida. Um e-mail de fatura fraudulenta, um aviso falso de RH, uma mensagem de atendimento ao cliente falsificada usando o dominio exato de uma dessas empresas tem uma chance real de chegar a uma caixa de entrada sem filtro, porque a politica vigente nao instrui os servidores receptores a barra-la.
Por Que as Maiores Empresas Sao os Alvos de Maior Valor
O gerente da Proofpoint na India colocou a logica de forma direta: essas empresas estao entre os nomes mais confiaveis da economia digital do pais, e essa confianca e precisamente o que as torna alvos atraentes. Um e-mail de phishing que se passa por uma pequena empresa desconhecida desperta desconfianca. Um e-mail de phishing que se passa por um banco, uma operadora de telecomunicacoes ou um varejista das Fortune 100 se beneficia de anos de reconhecimento de marca acumulado, jogando a favor do atacante antes mesmo de o destinatario ler uma unica palavra da mensagem.
A pesquisa tambem aponta a IA como o acelerador. O alerta da Proofpoint e que a IA esta permitindo que agentes de ameacas se passem por marcas confiaveis em uma escala e velocidade nunca vistas, gerando conteudo de imitacao convincente e iscas direcionadas muito mais rapido do que qualquer campanha manual conseguiria. A escala se multiplica contra qualquer lacuna que exista na politica de autenticacao de um dominio. Uma lacuna de aplicacao de 41% entre as maiores empresas do pais nao e um erro de arredondamento nessa escala, e um convite permanente.
Aplicar a Politica E um Projeto, Nao um Interruptor
A razao pela qual tantas organizacoes ficam paradas em p=none ou p=quarantine raramente e indiferenca. E o medo de bloquear e-mails legitimos. O dominio de uma empresa costuma enviar por meio de um fornecedor de folha de pagamento, um CRM, uma plataforma de marketing, um sistema de tickets de suporte e mais meia duzia de servicos de terceiros, cada um dos quais precisa ser identificado e autorizado com SPF e DKIM antes que seja seguro ativar uma politica de rejeicao. Pular essa etapa de inventario faz com que a aplicacao corra o risco de descartar silenciosamente uma fatura real ou uma redefinicao de senha real junto com as fraudulentas. Esse risco, e nao a apatia, e o que deixa tantas empresas bem equipadas estacionadas indefinidamente em modo de monitoramento.
A solucao nao e complicada, mas exige que alguem realmente leia os relatorios agregados que o DMARC produz em p=none, identifique cada fonte de envio legitima e a autorize, antes de avancar a politica. Pular direto para p=reject sem essa visibilidade e como o e-mail legitimo acaba preso no fogo cruzado. Nao aplicar a politica de forma alguma, indefinidamente, e como a fraude acaba passando no lugar.
A Conclusao
Os numeros da Proofpoint descrevem exatamente a lacuna que tem definido a adocao do DMARC ha anos: publicar um registro e facil, e a maioria das grandes organizacoes ja o fez. Aplicar esse registro contra tentativas reais de fraude e a parte que fica adiada, as vezes por anos, enquanto o dominio permanece exposto sob a aparencia de estar protegido. Se voce atende clientes que ja confiam na sua marca, essa lacuna e exatamente com o que um e-mail falsificado esta contando.
Ter um registro DMARC nao e o mesmo que aplica-lo. Cadastre-se gratis no Excello Mail e obtenha a visibilidade necessaria para levar seu dominio do monitoramento a uma politica de rejeicao totalmente aplicada com confianca.