Dados8 min de leitura

Quantas empresas brasileiras têm DMARC configurado corretamente

A maioria das empresas que configuram DMARC no Brasil usa p=none — uma policy de monitoramento que não oferece proteção real contra spoofing. Entenda o panorama e por que fazer a transição para p=quarantine ou p=reject é essencial para a reputação da sua marca.

Você conhece alguém que configurou DMARC e depois nunca mais pensou no assunto? É comum. No Brasil, muitas empresas — desde pequenas lojas online até grandes varejistas — adotaram DMARC com policy p=none para satisfazer os requisitos dos provedores como Gmail e Outlook, mas pararam por aí. Não sabem se está funcionando, nunca monitoram os relatórios de falha, e quando chega a hora de realmente aplicar proteção, têm medo de bloquear emails legítimos.

A realidade é que a adoção de DMARC com políticas ativas — p=quarantine ou p=reject — ainda é tímida. Muitas empresas aderem porque é obrigado, mas não entendem a diferença entre monitorar e proteger. Neste artigo, exploramos o panorama de DMARC no Brasil e por que fazer essa transição é fundamental para evitar que sua marca seja usada em ataques de phishing e spoofing.

O que os dados mostram sobre DMARC no Brasil

Os números variam conforme a indústria e o tamanho da empresa, mas a tendência é clara: entre as empresas que implementam qualquer forma de autenticação de email (SPF, DKIM, DMARC), a maioria começa com DMARC em modo p=none. Por quê? É o mais seguro — você coleta informações sobre falhas (via relatórios RUA e RUF) sem quebrar nada.

O problema é que muitas nunca avançam além disso. Deixam p=none indefinidamente, o que significa que qualquer pessoa ainda consegue enviar email "em nome de" sua empresa sem que o email seja bloqueado. Para o receptor, não há diferença — um atacante que falsifique seu domínio ainda passará despercebido.

v=DMARC1; p=quarantine; rua=mailto:admin@empresa.com.br; ruf=mailto:forensics@empresa.com.br; pct=100; sp=rejectVersão do protocolo DMARCEmails que falham DMARC vão para spamAplicar a policy em 100% dos emailsSubdomínios usam reject
Exemplo de registro DMARC com política de quarentena

Por que tantas empresas ficam em p=none

Há várias razões. A primeira é o medo. Se você tiver um servidor de email legítimo (como autorrespostas automáticas, notificações do seu e-commerce) que não passa em SPF ou DKIM, ativar p=reject quebrará tudo. Clientes não receberão confirmações de pedido, parceiros não verão seus emails.

A segunda é a falta de visibilidade. Poucos donos de negócio conhecem DMARC ou sabem como ler relatórios RUA. O registro fica lá, "configurado", mas ninguém acompanha. Sem feedback, não há motivação para mudar.

A terceira é a exigência regulatória ligeira. Desde fevereiro de 2024, Gmail e Yahoo exigem DMARC com pelo menos p=none para remetentes que enviam emails em massa. Cumprir o mínimo é fácil; ir além exige trabalho.

Dica importante
Comece com p=quarantine, não com p=reject. A quarentena envia emails suspeitos para spam, mas não os rejeita na rede — você tem tempo para monitorar relatórios e ajustar sem perder emails legítimos. Depois de 2-3 semanas de monitoração limpa, aumente para p=reject.

Diferença entre p=none, p=quarantine e p=reject

Essas três policies DMARC representam escalas diferentes de proteção:

  • p=none: Monitora falhas mas não faz nada. Emails que falham DMARC são entregues normalmente. Você recebe relatórios, mas o spoofing continua acontecendo. É o "estágio amador" — útil para auditar, mas não para proteger.
  • p=quarantine: Emails que falham DMARC vão para a pasta de spam/lixo do usuário. Não são rejeitados na rede, então autorrespostas e notificações legítimas com falhas ainda chegam (só que em spam). Ideal para a fase de transição.
  • p=reject: Emails que falham DMARC são recusados no servidor de email (bounce). Zero chance de spoofing passar, mas se você tiver um serviço legítimo com falha de autenticação, ele simplesmente desaparecerá. Use quando tiver 100% de confiança que todos os seus emails saem autenticados.

No Brasil, pela natureza fragmentada da infraestrutura (muitas pequenas lojas em Shopify, WordPress, Locaweb, VTEX), p=quarantine é frequentemente o ponto de equilíbrio — oferece proteção sem o risco de quebrar notificações importantes.

Como monitorar seu DMARC e avançar para políticas fortes

O primeiro passo é configurar relatórios. No seu registro DMARC, adicione dois emails:

  • RUA (Report URI of Aggregate): Relatórios agregados que chegam diariamente/semanalmente. Mostram quantos emails falharam, de onde vieram e por quê.
  • RUF (Report URI of Forensic): Relatórios detalhados de cada falha — nome do servidor, IP, resultado SPF/DKIM. Mais pesado, mas essencial para diagnóstico.

Depois, configure monitoração:

  1. Deixe p=none por 1 semana, colete dados.
  2. Mude para p=quarantine com pct=10 (quarentena em 10% dos emails como teste).
  3. Monitore por 2-3 semanas. Se não houver reclamações de clientes, aumente pct para 50%, depois 100%.
  4. Quando relatórios estiverem limpos por 2 semanas, considere p=reject.

Ferramentas gratuitas ajudam nesse processo. Você pode testar seu email antes de aplicar policy forte usando um teste de inbox placement — algo que mostra exatamente em qual pasta seu email cairia em diferentes provedores (Gmail, Outlook, UOL, BOL, etc.) conforme sua configuração de autenticação evoluir.

Por que DMARC correto impacta sua taxa de entrega

Um email autenticado corretamente (SPF ✓, DKIM ✓, DMARC p=reject ✓) é um email que os provedores brasileiros confiam. Gmail é o maior destino; iCloud está crescendo com a penetração de iPhone; Outlook tem muitos usuários corporativos; e os legacos UOL, BOL e Terra ainda representam um volume significativo de contatos.

Cada um desses provedores aplica filtros de reputação diferentes. Um domínio com DMARC fraco tem taxa de spam mais alta — emails caem em spam mesmo que o conteúdo seja legítimo. Um domínio com DMARC correto (policy forte, SPF e DKIM em dia) vence esses filtros naturalmente.

Para e-commerce (Shopify, WooCommerce), isso significa confirmações de pedido e rastreamento chegando na caixa de entrada. Para SaaS (Bling, Tiny, RD Station), significa notificações críticas sendo lidas. Para marketing direto, significa campanhas tendo taxa de abertura e clique mais altas.

Próximos passos para sua empresa

Se você ainda está em p=none, a recomendação é:

  • Certifique-se de que SPF e DKIM estão corretos (não apenas p=none instalado).
  • Ative monitoramento via RUA/RUF — configure emails reais, não fictícios.
  • Teste seu email em uma ferramenta de sandbox para ver como ele se comporta em provedores reais.
  • Implemente p=quarantine com pct baixo e monitore por semanas.
  • Só depois considere p=reject.

Para validar essas mudanças conforme você avança, use um teste de inbox placement gratuito como check.live-direct-marketing.online — você envia um email de teste e vê exatamente em qual pasta ele cai em Gmail, Outlook, UOL, BOL e outros provedores brasileiros, além de validar SPF, DKIM e DMARC. Assim você tem feedback em tempo real antes de aplicar mudanças em produção.

Empresas que passam por esse processo relatam aumento significativo na taxa de entrega e redução de reclamações sobre emails não recebidos. Para negócios que dependem de email (marketing, transações, notificações), isso é a diferença entre sucesso e fracasso.

DMARC p=none oferece alguma proteção?

Não oferece proteção contra spoofing de verdade — apenas monitora. Qualquer um ainda consegue enviar email "em nome de" seu domínio. p=none é útil apenas para auditar e coletar dados antes de aplicar uma policy real. Pense nele como um "alarme desarmado" — ele registra intrusos, mas não os bloqueia.

Posso ir direto para p=reject?

Tecnicamente sim, mas é arriscado. Se você tiver qualquer servidor de email legítimo (autorrespostas, integração de e-commerce, emails transacionais de terceiros) que falhe em SPF/DKIM, será bloqueado. Recomendamos começar com p=quarantine e pct baixo (10-25%), monitorar por 2-3 semanas, e depois aumentar. Assim você tem tempo de descobrir e corrigir falhas antes de perder emails.

Quanto tempo leva para ver resultados?

Dependendo de quantos emails você envia, relatórios começam a chegar em 1-2 dias. Porém, o efeito na taxa de entrega (inbox placement melhora) pode levar 1-2 semanas porque os provedores precisam avaliar seu histórico de reputação após a mudança. Paciência vale a pena — mudar de p=none para p=quarantine/reject é um sinal forte de que você é um remetente legítimo.

Leituras relacionadas
Found this useful? Share it
AB
Sobre o autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifique sua entregabilidade em mais de 20 provedores

Gmail, Outlook, Yahoo, GMX, ProtonMail e outros. Capturas reais da caixa de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Grátis, sem cadastro.

Fazer teste grátis →

Testes ilimitados · Mais de 20 caixas · Resultados ao vivo · Sem conta