Conteúdo
O número que todo dono de domínio precisa ver
De cada 10 domínios ativos na internet, 7 ainda não têm proteção real contra falsificação de e-mail.
Esse é o dado central do Relatório de Adoção DMARC 2026 da EasyDMARC, que analisou 1,8 milhão dos domínios mais relevantes da web: apenas 10,7% deles têm o protocolo DMARC configurado com uma política que realmente bloqueia e-mails falsos.
Os outros 89,3% — mais de 1,6 milhão de domínios — estão vulneráveis a ter o nome da sua empresa usado por criminosos para enviar golpes, phishing e spam.
Segundo o relatório, que analisou 1,8 milhão de domínios, apenas 22,9% têm DMARC com enforcement real (p=quarantine ou p=reject). Os demais 77,1% ou não têm DMARC algum, ou usam p=none — que não bloqueia nenhum e-mail falso
Se você tem um site, uma loja virtual, ou qualquer presença digital com e-mail corporativo, esse dado provavelmente inclui você.
Por que seus e-mails estão indo para o spam (ou sendo bloqueados)
Você já enviou um e-mail importante — uma proposta, uma confirmação de pedido, uma mensagem para cliente — e ele simplesmente sumiu? Provavelmente foi para a caixa de spam. Ou pior: foi rejeitado silenciosamente pelo servidor de destino, sem que você soubesse.
A razão quase sempre é a mesma: autenticação de e-mail mal configurada ou ausente.
Desde 2024, Google (Gmail), Yahoo e Microsoft (Outlook) passaram a exigir que domínios que enviam e-mails tenham três protocolos configurados corretamente: SPF, DKIM e DMARC. Quem não cumpre as regras tem as mensagens jogadas no spam ou rejeitadas diretamente.
Em novembro de 2025, o Google endureceu ainda mais: e-mails de domínios não conformes agora sofrem rejeições temporárias e permanentes no nível do protocolo SMTP — ou seja, a mensagem nem chega a ser entregue. A Microsoft seguiu o mesmo caminho em maio de 2025.
Na prática, isso significa que se o seu domínio não estiver configurado corretamente, seus e-mails podem simplesmente não chegar a quem você quer alcançar.
O que são SPF, DKIM e DMARC (sem complicar)
Esses três protocolos trabalham juntos como uma espécie de “documento de identidade” para o seu e-mail. Veja o que cada um faz:
SPF (Sender Policy Framework) é uma lista publicada no DNS do seu domínio que diz quais servidores têm permissão para enviar e-mails em seu nome. Funciona como uma lista de funcionários autorizados: se um e-mail chega dizendo que veio da sua empresa, mas não veio de um servidor da lista, o servidor destinatário sabe que é suspeito.
DKIM (DomainKeys Identified Mail) é uma assinatura digital que vai embutida em cada e-mail que você envia. Ela prova duas coisas: que o e-mail realmente veio do seu domínio, e que ninguém alterou o conteúdo durante o caminho. Pense nela como um selo de lacre — se o lacre estiver intacto, o conteúdo é original.
DMARC (Domain-based Message Authentication, Reporting and Conformance) é o protocolo que une os dois anteriores e diz ao servidor de destino o que fazer quando um e-mail falha na verificação: ignorar, jogar no spam ou bloquear completamente. Ele também envia relatórios para você sobre o que está acontecendo com os e-mails enviados em nome do seu domínio — inclusive os não autorizados.
Sem DMARC configurado, mesmo que você tenha SPF e DKIM, não há nenhuma instrução para os servidores de destino sobre o que fazer com e-mails suspeitos. É como ter câmeras de segurança sem ninguém olhando o monitor.
O problema real: metade dos domínios que têm DMARC não usa de verdade
Dos 52,1% de domínios que já têm algum registro DMARC publicado, a maioria não está realmente protegida.
O DMARC tem três modos de operação, chamados de “políticas”:
- p=none — modo de monitoramento. Você recebe relatórios, mas nenhum e-mail falso é bloqueado. É o equivalente a uma câmera de segurança que grava mas não aciona nenhum alarme.
- p=quarantine — e-mails suspeitos vão para a caixa de spam do destinatário.
- p=reject — e-mails suspeitos são bloqueados e descartados.
O dado alarmante é que, dos domínios com DMARC, mais de 56% estão travados em p=none — sem nenhuma proteção real. Ao somar com os domínios que não têm DMARC algum, o resultado é que quase 90% dos domínios da internet não têm proteção efetiva contra falsificação de e-mail.
Significa que praticamente qualquer pessoa mal-intencionada pode enviar um e-mail fingindo ser do seu domínio — e não há nada configurado para impedir isso.
O que acontece quando o seu domínio é usado para golpes
Imagine o seguinte cenário: um cliente seu recebe um e-mail que parece ter sido enviado pelo seu negócio, pedindo para ele clicar em um link ou fazer um pagamento. O endereço de remetente é idêntico ao seu. O cliente confia, clica, e cai em um golpe.
Você não enviou nada. Mas o dano à reputação do seu negócio é real.
Isso se chama spoofing de e-mail, e é uma das técnicas de phishing mais usadas no mundo. Em 2026, a Microsoft detectou 8,3 bilhões de ameaças baseadas em e-mail apenas no primeiro trimestre — e 94% dos ataques de phishing têm o roubo de credenciais como objetivo principal.
Sem DMARC em p=reject, o seu domínio é um alvo fácil. Com DMARC configurado corretamente, qualquer tentativa de alguém fingir ser você é bloqueada antes de chegar à caixa de entrada do seu cliente.
Por que isso importa especialmente para quem tem e-commerce ou loja virtual
Se você vende online e processa pagamentos com cartão, há um motivo adicional para agir agora: o padrão PCI DSS v4.0, obrigatório desde 2025, exige DMARC de qualquer organização que lide com dados de cartões de pagamento. O não cumprimento pode gerar multas mensais entre US$ 5.000 e US$ 100.000.
Além disso, o dado mais revelador sobre o impacto real do DMARC vem de uma comparação entre países: nos países que adotaram mandatos nacionais de DMARC, as taxas de sucesso de ataques de phishing caíram de 69% para 14%. Nos países sem mandato, a vulnerabilidade chegou a 97%.
Como saber se o seu domínio está protegido agora
Você pode verificar a situação do seu domínio com ferramentas gratuitas online. Basta buscar por “DMARC checker” e inserir o seu domínio — em segundos você verá se tem SPF, DKIM e DMARC configurados, e qual política está ativa.
Se não tiver nada configurado, ou se estiver em p=none, sua proteção é zero.
O caminho para configurar corretamente segue uma sequência lógica:
1. Publique um registro SPF no DNS do seu domínio listando todos os servidores que enviam e-mail em seu nome — incluindo ferramentas de marketing, CRM e plataformas de transacional.
2. Configure o DKIM para cada serviço que envia e-mail pelo seu domínio. Cada serviço tem um procedimento diferente, mas todos envolvem publicar uma chave pública no DNS.
3. Publique o DMARC começando em p=none, com um endereço para receber relatórios. Acompanhe os relatórios por algumas semanas para garantir que todos os e-mails legítimos estão passando na autenticação.
4. Avance para p=quarantine quando estiver confiante que a configuração está correta.
5. Mude para p=reject para ter proteção total — e-mails falsos são descartados antes de chegar a qualquer caixa de entrada.
Um detalhe técnico importante: o SPF tem um limite de 10 consultas DNS. Se você usa muitas ferramentas de e-mail (marketing, CRM, suporte, transacional), pode ultrapassar esse limite sem perceber — e seus e-mails legítimos começam a falhar na autenticação. Isso é resolvido com uma técnica chamada “flattening” do SPF.
Como a Homehost pode ajudar
Toda hospedagem de sites da Homehost já inclui serviço de e-mail profissional com suporte para configuração de SPF, DKIM e DMARC.
Se você hospeda seu site conosco, os registros DNS necessários ficam acessíveis direto no painel de controle — e nossa equipe de suporte pode orientar a configuração.
Se você ainda usa um e-mail genérico como @gmail.com ou @hotmail.com para se comunicar com clientes, considere migrar para um e-mail com o seu próprio domínio (voce@suaempresa.com.br). Além de passar muito mais credibilidade, você terá controle total sobre a autenticação — e poderá proteger sua marca contra falsificação.
O que muda se você configurar tudo corretamente
A diferença é concreta e mensurável:
- Seus e-mails param de ir para a caixa de spam dos clientes
- Ninguém consegue enviar e-mails falsos fingindo ser você
- Sua reputação de domínio melhora, o que aumenta as taxas de entrega ao longo do tempo
- Você fica em conformidade com as exigências do Gmail, Yahoo e Outlook
- Você protege seus clientes de ataques de phishing que usam o seu nome
Em um cenário onde 70% dos domínios da internet ainda estão sem proteção real, configurar SPF, DKIM e DMARC é uma das ações de maior retorno que um dono de site pode tomar hoje — e o custo é zero, já que a configuração é feita nos registros DNS do seu domínio.
Resumo: o que você precisa saber
| Protocolo | O que faz | Onde fica |
|---|---|---|
| SPF | Lista os servidores autorizados a enviar e-mail pelo seu domínio | Registro TXT no DNS |
| DKIM | Assina digitalmente cada e-mail enviado | Registro TXT no DNS + configuração no servidor |
| DMARC | Define o que fazer com e-mails que falham e envia relatórios | Registro TXT no DNS |
Os três trabalham juntos. Ter só SPF ou só DKIM não é suficiente. E ter DMARC em p=none é quase o mesmo que não ter nada.
Se o seu domínio ainda não está protegido, o momento de agir é agora — antes que alguém use o seu nome para enganar os seus clientes.
Fontes:
EasyDMARC DMARC Adoption Report 2026;
DuoCircle — “DMARC, SPF, and DKIM in 2026”;
Microsoft Security Blog —“Email Threat Landscape Q1 2026”;
Google Sender Requirements 2024–2026;
PCI Security Standards Council — PCI DSS v4.0.
Quer configurar o e-mail profissional do seu domínio com proteção completa? A Homehost oferece hospedagem de sites com e-mail corporativo, painel cPanel e suporte técnico para configuração de SPF, DKIM e DMARC. Conheça os planos da Homehost
