Você conhece alguém que configurou DMARC e depois nunca mais pensou no assunto? É comum. No Brasil, muitas empresas — desde pequenas lojas online até grandes varejistas — adotaram DMARC com policy p=none para satisfazer os requisitos dos provedores como Gmail e Outlook, mas pararam por aí. Não sabem se está funcionando, nunca monitoram os relatórios de falha, e quando chega a hora de realmente aplicar proteção, têm medo de bloquear emails legítimos.
A realidade é que a adoção de DMARC com políticas ativas — p=quarantine ou p=reject — ainda é tímida. Muitas empresas aderem porque é obrigado, mas não entendem a diferença entre monitorar e proteger. Neste artigo, exploramos o panorama de DMARC no Brasil e por que fazer essa transição é fundamental para evitar que sua marca seja usada em ataques de phishing e spoofing.
O que os dados mostram sobre DMARC no Brasil
Os números variam conforme a indústria e o tamanho da empresa, mas a tendência é clara: entre as empresas que implementam qualquer forma de autenticação de email (SPF, DKIM, DMARC), a maioria começa com DMARC em modo p=none. Por quê? É o mais seguro — você coleta informações sobre falhas (via relatórios RUA e RUF) sem quebrar nada.
O problema é que muitas nunca avançam além disso. Deixam p=none indefinidamente, o que significa que qualquer pessoa ainda consegue enviar email "em nome de" sua empresa sem que o email seja bloqueado. Para o receptor, não há diferença — um atacante que falsifique seu domínio ainda passará despercebido.
Por que tantas empresas ficam em p=none
Há várias razões. A primeira é o medo. Se você tiver um servidor de email legítimo (como autorrespostas automáticas, notificações do seu e-commerce) que não passa em SPF ou DKIM, ativar p=reject quebrará tudo. Clientes não receberão confirmações de pedido, parceiros não verão seus emails.
A segunda é a falta de visibilidade. Poucos donos de negócio conhecem DMARC ou sabem como ler relatórios RUA. O registro fica lá, "configurado", mas ninguém acompanha. Sem feedback, não há motivação para mudar.
A terceira é a exigência regulatória ligeira. Desde fevereiro de 2024, Gmail e Yahoo exigem DMARC com pelo menos p=none para remetentes que enviam emails em massa. Cumprir o mínimo é fácil; ir além exige trabalho.
p=quarantine, não com p=reject. A quarentena envia emails suspeitos para spam, mas não os rejeita na rede — você tem tempo para monitorar relatórios e ajustar sem perder emails legítimos. Depois de 2-3 semanas de monitoração limpa, aumente para p=reject.Diferença entre p=none, p=quarantine e p=reject
Essas três policies DMARC representam escalas diferentes de proteção:
- p=none: Monitora falhas mas não faz nada. Emails que falham DMARC são entregues normalmente. Você recebe relatórios, mas o spoofing continua acontecendo. É o "estágio amador" — útil para auditar, mas não para proteger.
- p=quarantine: Emails que falham DMARC vão para a pasta de spam/lixo do usuário. Não são rejeitados na rede, então autorrespostas e notificações legítimas com falhas ainda chegam (só que em spam). Ideal para a fase de transição.
- p=reject: Emails que falham DMARC são recusados no servidor de email (bounce). Zero chance de spoofing passar, mas se você tiver um serviço legítimo com falha de autenticação, ele simplesmente desaparecerá. Use quando tiver 100% de confiança que todos os seus emails saem autenticados.
No Brasil, pela natureza fragmentada da infraestrutura (muitas pequenas lojas em Shopify, WordPress, Locaweb, VTEX), p=quarantine é frequentemente o ponto de equilíbrio — oferece proteção sem o risco de quebrar notificações importantes.
Como monitorar seu DMARC e avançar para políticas fortes
O primeiro passo é configurar relatórios. No seu registro DMARC, adicione dois emails:
- RUA (Report URI of Aggregate): Relatórios agregados que chegam diariamente/semanalmente. Mostram quantos emails falharam, de onde vieram e por quê.
- RUF (Report URI of Forensic): Relatórios detalhados de cada falha — nome do servidor, IP, resultado SPF/DKIM. Mais pesado, mas essencial para diagnóstico.
Depois, configure monitoração:
- Deixe
p=nonepor 1 semana, colete dados. - Mude para
p=quarantinecompct=10(quarentena em 10% dos emails como teste). - Monitore por 2-3 semanas. Se não houver reclamações de clientes, aumente
pctpara 50%, depois 100%. - Quando relatórios estiverem limpos por 2 semanas, considere
p=reject.
Ferramentas gratuitas ajudam nesse processo. Você pode testar seu email antes de aplicar policy forte usando um teste de inbox placement — algo que mostra exatamente em qual pasta seu email cairia em diferentes provedores (Gmail, Outlook, UOL, BOL, etc.) conforme sua configuração de autenticação evoluir.
Por que DMARC correto impacta sua taxa de entrega
Um email autenticado corretamente (SPF ✓, DKIM ✓, DMARC p=reject ✓) é um email que os provedores brasileiros confiam. Gmail é o maior destino; iCloud está crescendo com a penetração de iPhone; Outlook tem muitos usuários corporativos; e os legacos UOL, BOL e Terra ainda representam um volume significativo de contatos.
Cada um desses provedores aplica filtros de reputação diferentes. Um domínio com DMARC fraco tem taxa de spam mais alta — emails caem em spam mesmo que o conteúdo seja legítimo. Um domínio com DMARC correto (policy forte, SPF e DKIM em dia) vence esses filtros naturalmente.
Para e-commerce (Shopify, WooCommerce), isso significa confirmações de pedido e rastreamento chegando na caixa de entrada. Para SaaS (Bling, Tiny, RD Station), significa notificações críticas sendo lidas. Para marketing direto, significa campanhas tendo taxa de abertura e clique mais altas.
Próximos passos para sua empresa
Se você ainda está em p=none, a recomendação é:
- Certifique-se de que SPF e DKIM estão corretos (não apenas p=none instalado).
- Ative monitoramento via RUA/RUF — configure emails reais, não fictícios.
- Teste seu email em uma ferramenta de sandbox para ver como ele se comporta em provedores reais.
- Implemente
p=quarantinecompctbaixo e monitore por semanas. - Só depois considere
p=reject.
Para validar essas mudanças conforme você avança, use um teste de inbox placement gratuito como check.live-direct-marketing.online — você envia um email de teste e vê exatamente em qual pasta ele cai em Gmail, Outlook, UOL, BOL e outros provedores brasileiros, além de validar SPF, DKIM e DMARC. Assim você tem feedback em tempo real antes de aplicar mudanças em produção.
Empresas que passam por esse processo relatam aumento significativo na taxa de entrega e redução de reclamações sobre emails não recebidos. Para negócios que dependem de email (marketing, transações, notificações), isso é a diferença entre sucesso e fracasso.
DMARC p=none oferece alguma proteção?
Não oferece proteção contra spoofing de verdade — apenas monitora. Qualquer um ainda consegue enviar email "em nome de" seu domínio. p=none é útil apenas para auditar e coletar dados antes de aplicar uma policy real. Pense nele como um "alarme desarmado" — ele registra intrusos, mas não os bloqueia.
Posso ir direto para p=reject?
Tecnicamente sim, mas é arriscado. Se você tiver qualquer servidor de email legítimo (autorrespostas, integração de e-commerce, emails transacionais de terceiros) que falhe em SPF/DKIM, será bloqueado. Recomendamos começar com p=quarantine e pct baixo (10-25%), monitorar por 2-3 semanas, e depois aumentar. Assim você tem tempo de descobrir e corrigir falhas antes de perder emails.
Quanto tempo leva para ver resultados?
Dependendo de quantos emails você envia, relatórios começam a chegar em 1-2 dias. Porém, o efeito na taxa de entrega (inbox placement melhora) pode levar 1-2 semanas porque os provedores precisam avaliar seu histórico de reputação após a mudança. Paciência vale a pena — mudar de p=none para p=quarantine/reject é um sinal forte de que você é um remetente legítimo.