Se sua empresa usa e-mail com domínio próprio (ex.: nome@suaempresa.com), existe um risco recorrente: criminosos podem “falsificar” esse domínio (spoofing) e disparar phishing e fraudes com aparência legítima. A orientação da Federal Trade Commission é adotar autenticação de e-mail — controles que permitem ao servidor do destinatário verificar se o e-mail realmente veio da sua infraestrutura e, se não veio, bloquear ou colocar em quarentena. (Federal Trade Commission)
O que a autenticação de e-mail resolve (e o que ela não resolve)
Autenticação não “acaba com phishing”, mas corta um vetor importante: o atacante se passando pelo seu domínio. Ela também pode gerar relatórios/avisos quando alguém tenta usar seu nome. Para isso, a FTC destaca o trio SPF, DKIM e DMARC. (Federal Trade Commission)
1) SPF: “quem está autorizado a enviar”
O Sender Policy Framework (SPF) é um registro DNS que lista quais servidores podem enviar e-mails por um domínio. Se uma mensagem chega “de suaempresa.com” vinda de um servidor fora da lista, o destinatário tende a tratar como suspeita. (Federal Trade Commission)
2) DKIM: “esta mensagem veio de quem diz e não foi alterada”
O DomainKeys Identified Mail (DKIM) aplica uma assinatura digital nas mensagens de saída. O servidor de destino valida essa assinatura com a chave pública no DNS, ajudando a detectar alterações no caminho e reforçando a confiança na origem. (Federal Trade Commission)
3) DMARC: “alinhamento + ação + aviso”
O DMARC amarra tudo: além de considerar SPF/DKIM, ele verifica se o domínio validado “nos bastidores” combina com o “From:” que o usuário vê. E permite definir ação para falhas (nenhuma ação, quarentena/spam ou rejeitar) e habilitar notificações/relatórios. (Federal Trade Commission)
O erro comum: “tenho SPF” (mas continuo sendo falsificado)
A FTC alerta que configurar esses mecanismos exige cuidado: é fácil bloquear e-mails legítimos se você não mapear todas as fontes que enviam em nome do seu domínio. Em pequenas empresas, isso costuma incluir, além do provedor principal, marketing, CRM, helpdesk, cobrança/boletos, formulários do site e sistemas internos. (Federal Trade Commission)
Um roteiro prático (em 5 passos) para colocar de pé
Passo 1 — inventarie “quem envia”
Liste todos os serviços que disparam e-mail com seu domínio. Sem isso, qualquer endurecimento no DMARC vira “apagão” de comunicação.
Passo 2 — publique um SPF único e limpo
Mantenha um único registro SPF (TXT) e use apenas os “includes” recomendados pelos provedores. Comece mais tolerante durante ajustes (~all) e, depois de estabilizar, avance para uma política mais restritiva (-all).
Exemplo (ilustrativo):
v=spf1 include:spf.provedor.com include:mail.servico.com ~all
Passo 3 — habilite DKIM em tudo que suportar
No provedor principal e em serviços terceirizados, ative DKIM e publique os seletores no DNS. Isso melhora o alinhamento com DMARC e reduz falsos positivos.
Passo 4 — implemente DMARC em fases
Um caminho pragmático é iniciar em p=none para observar relatórios, corrigir fontes “esquecidas” e só depois avançar para p=quarantine e p=reject (quando estiver confiante de que o fluxo legítimo está alinhado). (Federal Trade Commission)
Exemplo (ilustrativo):
v=DMARC1; p=none; rua=mailto:dmarc@seu-dominio.com
Passo 5 — monitore e ajuste
Relatórios DMARC ajudam a descobrir envios inesperados (fornecedor, sistema antigo, serviço novo). Ajuste SPF/DKIM e, quando estiver consistente, endureça a política.
Como escolher (ou cobrar) seu provedor/host
Se seu e-mail usa o domínio da empresa, a FTC recomenda garantir que o provedor ofereça SPF, DKIM e DMARC e, se você não tiver expertise interna, ajude na configuração para não bloquear e-mails legítimos. (Federal Trade Commission)
Armadilhas que derrubam a proteção (e como evitar)
- DMARC agressivo cedo demais: colete sinais e ajuste antes de rejeitar em massa.
- SPF com duplicidade/“colcha de retalhos”: evite múltiplos registros e “includes” sem inventário.
- Terceiros fora do radar: marketing/CRM/helpdesk precisam estar alinhados para não “quebrarem” o DMARC.
- Esquecer o fator humano: autenticação reduz spoofing, mas não substitui treinamento e processos (ex.: validar pedidos financeiros por outro canal).
Se seu e-mail foi spoofado: o que fazer nas próximas 24 horas
A FTC recomenda três ações:
- Reportar o golpe às autoridades (incluindo o Internet Crime Complaint Center, ligado ao Federal Bureau of Investigation, e o canal de denúncias da FTC) e encaminhar phishing para reportphishing@apwg.org, do Anti-Phishing Working Group. (Federal Trade Commission)
- Avisar clientes rapidamente — e, se for por e-mail, enviar mensagem sem hyperlinks para não parecer phishing. (Federal Trade Commission)
- Orientar a equipe e aproveitar o incidente para reforçar práticas e treinamento. (Federal Trade Commission)
Fechando: o “básico” que aumenta confiança e reduz prejuízo
Email authentication é uma medida de alto impacto e baixo glamour: reduz spoofing, melhora a filtragem nos destinatários e cria telemetria para enxergar abuso do seu domínio. Em tempos de golpes cada vez mais convincentes, SPF + DKIM + DMARC bem configurados viram um dos melhores investimentos “básicos” que uma pequena empresa pode fazer. (Federal Trade Commission)
20 tags (uma linha): autenticação de e-mail, email security, SPF, DKIM, DMARC, spoofing, phishing, business email compromise, BEC, small business cybersecurity, DNS, reputação de domínio, deliverability, segurança para PMEs, antiphishing, quarentena de e-mail, política DMARC, relatórios DMARC, fraude por e-mail, higiene cibernética
