Novo Estudo: Apenas 42% das Maiores Organizações do Massachusetts Aplicam DMARC em Pleno
Um estudo da Red Sift de abril de 2026 revela uma lacuna preocupante na aplicação do DMARC no Massachusetts. Descubra o que isto significa para a segurança do seu email e para a entregabilidade das suas campanhas.
Mais de metade das maiores organizações do Massachusetts continuam expostas a ataques de phishing e falsificação de domínio — porque ainda não aplicaram por completo o padrão de autenticação de email que os impediria. Uma nova análise de cibersegurança coloca um número preciso nessa exposição, e as conclusões devem preocupar qualquer empresário, profissional de marketing ou equipa de segurança que envie email sob um domínio corporativo.
Os Resultados: A Maioria Continua Exposta
Uma análise às 100 maiores empresas, organizações sem fins lucrativos e organismos públicos do Massachusetts revela que apenas 42% aplicam por completo o padrão de autenticação de email conhecido como DMARC, segundo a empresa de cibersegurança Red Sift.
De acordo com o Axios Boston, a distribuição dentro da amostra do Massachusetts é reveladora:
26% têm algum nível de aplicação, como o envio de emails suspeitos para quarentena.
28% não aplicam qualquer política DMARC — limitam-se a monitorizar e a receber relatórios sobre emails falsos.
4%não dispõem de qualquer protocolo de segurança de email.
Este padrão não se limita ao Massachusetts. A Red Sift analisou 700 domínios em sete estados e concluiu que 43% não tinham aplicado ou sequer implementado protocolos DMARC, sendo que apenas 35% reportaram aplicação plena.
Esta lacuna é particularmente significativa no Massachusetts, que é um polo central dos setores norte-americanos da saúde, biotecnologia, ensino superior, serviços financeiros e defesa — indústrias em que a comunicação de alto risco assenta fortemente no email.
"Se envia emails, é um alvo", afirma Brian Westnedge, Vice-Presidente de Alianças e Parcerias da Red Sift.
Por Que "Alguma" Aplicação Não Chega
DMARC — Domain-based Message Authentication, Reporting and Conformance — é uma política de DNS que indica aos servidores de email destinatários o que fazer com mensagens que não passem nas verificações de autenticação. Pode rejeitar ou colocar em quarentena emails falsificados, garantindo que as mensagens que chegam à caixa de entrada provêm realmente da organização que afirmam representar.
Novo Estudo: Apenas 42% das Maiores Organizações do Massachusetts Aplicam DMARC em Pleno
Um estudo da Red Sift de abril de 2026 revela uma lacuna preocupante na aplicação do DMARC no Massachusetts. Descubra o que isto significa para a segurança do seu email e para a entregabilidade das suas campanhas.
Mais de metade das maiores organizações do Massachusetts continuam expostas a ataques de phishing e falsificação de domínio — porque ainda não aplicaram por completo o padrão de autenticação de email que os impediria. Uma nova análise de cibersegurança coloca um número preciso nessa exposição, e as conclusões devem preocupar qualquer empresário, profissional de marketing ou equipa de segurança que envie email sob um domínio corporativo.
Os Resultados: A Maioria Continua Exposta
Uma análise às 100 maiores empresas, organizações sem fins lucrativos e organismos públicos do Massachusetts revela que apenas 42% aplicam por completo o padrão de autenticação de email conhecido como DMARC, segundo a empresa de cibersegurança Red Sift.
De acordo com o Axios Boston, a distribuição dentro da amostra do Massachusetts é reveladora:
26% têm algum nível de aplicação, como o envio de emails suspeitos para quarentena.
28% não aplicam qualquer política DMARC — limitam-se a monitorizar e a receber relatórios sobre emails falsos.
4%não dispõem de qualquer protocolo de segurança de email.
Este padrão não se limita ao Massachusetts. A Red Sift analisou 700 domínios em sete estados e concluiu que 43% não tinham aplicado ou sequer implementado protocolos DMARC, sendo que apenas 35% reportaram aplicação plena.
Esta lacuna é particularmente significativa no Massachusetts, que é um polo central dos setores norte-americanos da saúde, biotecnologia, ensino superior, serviços financeiros e defesa — indústrias em que a comunicação de alto risco assenta fortemente no email.
"Se envia emails, é um alvo", afirma Brian Westnedge, Vice-Presidente de Alianças e Parcerias da Red Sift.
Por Que "Alguma" Aplicação Não Chega
DMARC — Domain-based Message Authentication, Reporting and Conformance — é uma política de DNS que indica aos servidores de email destinatários o que fazer com mensagens que não passem nas verificações de autenticação. Pode rejeitar ou colocar em quarentena emails falsificados, garantindo que as mensagens que chegam à caixa de entrada provêm realmente da organização que afirmam representar.
Ainda sem comentários. Seja o primeiro!
Notícias relacionadas
Ainda sem comentários. Seja o primeiro!
Notícias relacionadas
O problema é que publicar um registo DMARC não equivale a aplicá-lo. Muitas organizações publicam registos DMARC com a política p=none — o que oferece visibilidade, mas não impede que emails falsificados cheguem às caixas de entrada.
Muitas organizações optam por uma solução intermédia, mantendo o DMARC em modo de quarentena, em que as mensagens não autenticadas não são rejeitadas, mas sim encaminhadas para a pasta de spam. No entanto, os especialistas alertam que esta não é uma proteção real — os utilizadores podem, e frequentemente o fazem, recuperar mensagens da pasta de correio indesejado, especialmente quando aparentam ter sido enviadas por contactos de confiança. Isto cria um risco persistente de phishing ou fraude bem-sucedidos.
A Crise Global de Autenticação
O estudo do Massachusetts não é um caso isolado — reflete um problema sistémico à escala global. Uma análise ao segundo trimestre de 2025 indica que apenas cerca de 18% dos 10 milhões de domínios mais visitados do mundo publicam um registo DMARC válido, e apenas cerca de 4% aplicam plenamente uma política de rejeição.
Emerge uma clara lacuna de maturidade: as grandes empresas avançam progressivamente para a aplicação plena, enquanto muitas organizações em crescimento acelerado permanecem presas no modo de monitorização. Mesmo entre as empresas da Fortune 500, a adoção chegou a 475 das 500, mas mais de 80% tinham atingido políticas de aplicação — o que significa que, mesmo no topo, uma em cada cinco ainda não tinha cruzado esse limiar.
As implicações financeiras são graves. A Gartner reporta que os pagamentos resultantes de comprometimento de email empresarial (BEC) ultrapassaram os 6 mil milhões de dólares em 2024, sendo que a caixa de entrada continua a ser «a superfície de ataque mais prevalente», uma vez que os colaboradores têm obrigatoriamente de comunicar com o exterior através de protocolos antigos e inseguros. Entretanto, o custo médio de uma violação relacionada com phishing atingiu 4,88 milhões de dólares em 2025.
Segundo o relatório de ameaças da Cloudflare de 2026, 46% de todos os emails falham a validação DMARC, o que ilustra o volume de tráfego não autenticado que continua a circular pelos sistemas globais.
Os Grandes Fornecedores de Email Estão a Forçar a Mudança
A pressão para aplicar o DMARC já não é opcional — parte agora diretamente das plataformas que entregam o email. Google, Yahoo (fevereiro de 2024), Microsoft (maio de 2025) e La Poste (setembro de 2025) exigem autenticação SPF, DKIM e DMARC para remetentes de email em massa.
Em outubro de 2025, o Google retirou o painel de controlo legado do Postmaster Tools e lançou o Postmaster Tools v2, deslocando o foco de "Reputação" para "Estado de Conformidade", avaliando os remetentes através de um modelo binário — uma mudança fundamental na forma como o Google comunica a saúde do remetente. O modelo binário significa que a conformidade parcial produz o mesmo resultado que a ausência de conformidade: falha.
Quase metade dos maiores empregadores de Boston ainda não implementou a aplicação plena da segurança de email, deixando muitas instituições locais expostas a ataques de phishing e de falsificação de marca. Boston fica agora atrás de cidades como Nova Iorque e Washington D.C. na adoção, mesmo quando as ameaças por email se tornam cada vez mais fáceis de escalar com recurso à inteligência artificial.
O Que Isto Significa
Para empresários, profissionais de marketing e equipas de crescimento, as conclusões da Red Sift são um aviso direto em matéria de entregabilidade e proteção da marca.
Durante anos, as equipas de marketing otimizaram taxas de abertura, taxas de clique e métricas de conversão. Com o modelo de aplicação do Google, nenhuma dessas métricas tem qualquer relevância se o seu email nunca chegar à caixa de entrada.
O impacto empresarial de uma autenticação fraca é amplo: menor taxa de entrega na caixa de entrada, deterioração da reputação do remetente, bloqueio de emails nos principais servidores destinatários, e perdas financeiras diretas resultantes de roubo de credenciais e fraudes por fatura.
Embora a amostra do Massachusetts cubra apenas uma fração das empresas do estado, a Red Sift sublinha que o estudo oferece um retrato fiel da postura real de segurança de email das organizações — e se as maiores organizações do estado ainda não adotaram proteções mais robustas, é bem provável que as pequenas e médias empresas, com menos recursos de TI, também não o tenham feito. Em Portugal, onde as PME representam mais de 99% do tecido empresarial, este risco é especialmente pertinente.
O caminho a seguir está bem definido: passar de p=none para p=quarantine e depois para p=reject, garantir que todas as plataformas de envio de terceiros estão autenticadas, e monitorizar continuamente os relatórios agregados do DMARC. As organizações devem adotar uma segurança de email autenticada, automatizada e centrada na identidade para proteger os seus domínios, manter a entregabilidade e preservar a confiança dos clientes.
A lacuna de aplicação é mensurável. As consequências são reais. A solução existe — mas só para as organizações que agirem agora.
O problema é que publicar um registo DMARC não equivale a aplicá-lo. Muitas organizações publicam registos DMARC com a política p=none — o que oferece visibilidade, mas não impede que emails falsificados cheguem às caixas de entrada.
Muitas organizações optam por uma solução intermédia, mantendo o DMARC em modo de quarentena, em que as mensagens não autenticadas não são rejeitadas, mas sim encaminhadas para a pasta de spam. No entanto, os especialistas alertam que esta não é uma proteção real — os utilizadores podem, e frequentemente o fazem, recuperar mensagens da pasta de correio indesejado, especialmente quando aparentam ter sido enviadas por contactos de confiança. Isto cria um risco persistente de phishing ou fraude bem-sucedidos.
A Crise Global de Autenticação
O estudo do Massachusetts não é um caso isolado — reflete um problema sistémico à escala global. Uma análise ao segundo trimestre de 2025 indica que apenas cerca de 18% dos 10 milhões de domínios mais visitados do mundo publicam um registo DMARC válido, e apenas cerca de 4% aplicam plenamente uma política de rejeição.
Emerge uma clara lacuna de maturidade: as grandes empresas avançam progressivamente para a aplicação plena, enquanto muitas organizações em crescimento acelerado permanecem presas no modo de monitorização. Mesmo entre as empresas da Fortune 500, a adoção chegou a 475 das 500, mas mais de 80% tinham atingido políticas de aplicação — o que significa que, mesmo no topo, uma em cada cinco ainda não tinha cruzado esse limiar.
As implicações financeiras são graves. A Gartner reporta que os pagamentos resultantes de comprometimento de email empresarial (BEC) ultrapassaram os 6 mil milhões de dólares em 2024, sendo que a caixa de entrada continua a ser «a superfície de ataque mais prevalente», uma vez que os colaboradores têm obrigatoriamente de comunicar com o exterior através de protocolos antigos e inseguros. Entretanto, o custo médio de uma violação relacionada com phishing atingiu 4,88 milhões de dólares em 2025.
Segundo o relatório de ameaças da Cloudflare de 2026, 46% de todos os emails falham a validação DMARC, o que ilustra o volume de tráfego não autenticado que continua a circular pelos sistemas globais.
Os Grandes Fornecedores de Email Estão a Forçar a Mudança
A pressão para aplicar o DMARC já não é opcional — parte agora diretamente das plataformas que entregam o email. Google, Yahoo (fevereiro de 2024), Microsoft (maio de 2025) e La Poste (setembro de 2025) exigem autenticação SPF, DKIM e DMARC para remetentes de email em massa.
Em outubro de 2025, o Google retirou o painel de controlo legado do Postmaster Tools e lançou o Postmaster Tools v2, deslocando o foco de "Reputação" para "Estado de Conformidade", avaliando os remetentes através de um modelo binário — uma mudança fundamental na forma como o Google comunica a saúde do remetente. O modelo binário significa que a conformidade parcial produz o mesmo resultado que a ausência de conformidade: falha.
Quase metade dos maiores empregadores de Boston ainda não implementou a aplicação plena da segurança de email, deixando muitas instituições locais expostas a ataques de phishing e de falsificação de marca. Boston fica agora atrás de cidades como Nova Iorque e Washington D.C. na adoção, mesmo quando as ameaças por email se tornam cada vez mais fáceis de escalar com recurso à inteligência artificial.
O Que Isto Significa
Para empresários, profissionais de marketing e equipas de crescimento, as conclusões da Red Sift são um aviso direto em matéria de entregabilidade e proteção da marca.
Durante anos, as equipas de marketing otimizaram taxas de abertura, taxas de clique e métricas de conversão. Com o modelo de aplicação do Google, nenhuma dessas métricas tem qualquer relevância se o seu email nunca chegar à caixa de entrada.
O impacto empresarial de uma autenticação fraca é amplo: menor taxa de entrega na caixa de entrada, deterioração da reputação do remetente, bloqueio de emails nos principais servidores destinatários, e perdas financeiras diretas resultantes de roubo de credenciais e fraudes por fatura.
Embora a amostra do Massachusetts cubra apenas uma fração das empresas do estado, a Red Sift sublinha que o estudo oferece um retrato fiel da postura real de segurança de email das organizações — e se as maiores organizações do estado ainda não adotaram proteções mais robustas, é bem provável que as pequenas e médias empresas, com menos recursos de TI, também não o tenham feito. Em Portugal, onde as PME representam mais de 99% do tecido empresarial, este risco é especialmente pertinente.
O caminho a seguir está bem definido: passar de p=none para p=quarantine e depois para p=reject, garantir que todas as plataformas de envio de terceiros estão autenticadas, e monitorizar continuamente os relatórios agregados do DMARC. As organizações devem adotar uma segurança de email autenticada, automatizada e centrada na identidade para proteger os seus domínios, manter a entregabilidade e preservar a confiança dos clientes.
A lacuna de aplicação é mensurável. As consequências são reais. A solução existe — mas só para as organizações que agirem agora.
Jan 2026 Gmail filtering failure forced promotional emails into primary inboxes. Result: engagement up, but unsubscribes surged. What email marketers need to know.
SSarah Mitchell
Entregabilidade de Email5/04/2026 6 min
Gmail Glitch Shows Forced Visibility Backfires
Jan 2026 Gmail filtering failure forced promotional emails into primary inboxes. Result: engagement up, but unsubscribes surged. What email marketers need to know.
