Pular para o conteúdo
OS Domains
Engajamento one-time · Diagnóstico técnico

Auditoria de entregabilidade conduzida pelos engenheiros que operam o MTA

Uma auditoria de deliverability é um diagnóstico técnico independente de por que o seu e-mail não chega ao inbox, que examina autenticação, reputação, infraestrutura, conteúdo e listas, e termina num relatório com causas raiz e um plano de correção priorizado. A OS Domains realiza auditorias para empresas brasileiras que precisam de uma segunda opinião neutra —sem vender o serviço de envio—, avaliando sete dimensões técnicas em profundidade e entregando achados acionáveis em vez de um número de score, sob entidade austríaca residente na UE.

A maioria das auditorias de email no mercado é teste de spam-tester glorificado em algumas seed inboxes. A nossa é revisão forense em nível de log do stack de envio, conduzida por engenheiros que operam KumoMTA, PowerMTA e MailerQ em produção desde 2008. A gente fala exatamente o que está quebrado na configuração atual, o que está em risco operacional, e o que corrigir primeiro com base em impacto de fato medido, com relatório técnico de 20 a 40 páginas, evidência documentada de cada item, e plano de ação ranqueado por impacto e esforço. Para empresa brasileira que quer diagnóstico independente antes de comprometer com serviço gerenciado, ou para empresa que prefere executar a remediação internamente com orientação técnica documentada que serve como referência durante a implementação. Tarifa única, sem upsell pressionado posterior, €490 a €1.490 dependendo do escopo da operação a auditar.

Em breve

  • Diagnóstico técnico independente de sete dimensões: autenticação (SPF, DKIM, DMARC, rDNS), reputação de IP e domínio, infraestrutura, conteúdo, listas, segmentação e processos.
  • Três faixas (pagamento único): Standard 490 €, Pro 990 € e Enterprise 1.490 €, conforme o escopo e a profundidade da análise.
  • Relatório com causas raiz e plano de correção priorizado, em vez de um score sem contexto acionável.
  • Opinião neutra: a auditoria não está atrelada à contratação do nosso serviço de envio, para que o diagnóstico seja independente.
  • Entrega em prazo definido com sessão de revisão dos achados, sob entidade austríaca residente na UE, com addendum LGPD para o remetente brasileiro.
O que essa auditoria entrega de fato

Para empresa brasileira que precisa diagnóstico técnico independente sobre o que está acontecendo com a entregabilidade de email

O mercado de auditoria de entregabilidade está cheio de produto que se chama de "auditoria" mas entrega muito menos do que isso. Tipicamente é teste automatizado de spam-tester em 10 a 20 seed inboxes (GlockApps, MailGenius, Litmus Spam Filter Test) com relatório padronizado mostrando placement em receivers populares, pontuação de spam-score automatizado, lista de blacklists checadas, recomendações genéricas tipo "publique DMARC, melhore engagement". Esse formato funciona como ferramenta diagnóstica para self-service, custa €30 a €200, e é útil dentro do escopo limitado dele. Não é o que a gente faz.

A nossa auditoria é trabalho de engenheiro humano analisando o stack do cliente em profundidade. Cobre DNS (registros publicados, validação de configuração SPF, DKIM, DMARC, MX, PTR, BIMI quando aplicável, identificação de fonte de envio órfã ou conflitante), reputação (presença em todas as blacklists relevantes ponderadas por peso em filtro corporativo, status no Google Postmaster Tools com baseline de tendência quando o cliente já tem dado coletado, status no Microsoft SNDS, Sender Score do Validity, indicadores Cisco Talos), infraestrutura (mapa de fontes de envio reais identificadas via aggregate report DMARC mais investigação de log do cliente, classificação de cada fonte por status de alinhamento, identificação de gap operacional em segregação de tráfego), qualidade de lista (taxa de bounce sustentada nos últimos 90 dias, taxa de complaint, evidência de spam-trap captado, indicadores de lista comprada ou raspada quando aparece padrão), e gap operacional (autenticação parcial, falta de monitoramento, ausência de plano de aquecimento documentado, falta de governança em fonte de terceiros).

O relatório final tem entre 20 e 40 páginas dependendo do tier escolhido. A estrutura é fixa: sumário executivo de 2 páginas em linguagem não-técnica para diretoria; classificação de risco por dimensão (DNS, reputação, infraestrutura, lista, governança) com semáforo verde-amarelo-vermelho; análise técnica detalhada com evidência (capturas de configuração atual, log redacted quando aplicável, métricas verificáveis, comparação com benchmark de mercado); plano de ação ranqueado por impacto e esforço (típico: 8 a 25 ações priorizadas em quatro categorias de impacto, com estimativa de esforço em horas de engenheiro do cliente para implementar); e apêndice técnico com referência detalhada para cada item do plano. O relatório fica com o cliente independente de contratação subsequente, e pode ser usado em auditoria interna, em apresentação para diretoria, em justificativa de orçamento de TI, ou em comunicação com auditor regulatório.

Quem contrata: empresa brasileira em três perfis principais. Primeiro: empresa que está prestes a tomar decisão sobre serviço gerenciado de entregabilidade (Managed DMARC, Cold Email Infrastructure, Email API EU) e quer diagnóstico independente antes de comprometer. A auditoria entrega o input para a decisão "vale a pena contratar serviço gerenciado ou o time interno consegue executar?". Segundo: empresa que prefere executar internamente mas precisa orientação técnica documentada para guiar o trabalho. A auditoria entrega o roadmap. Terceiro: empresa em situação de auditoria interna, externa ou regulatória que precisa documentação técnica formal sobre a postura atual de entregabilidade. A auditoria entrega o documento.

Quando não vale a pena: para empresa brasileira em situação de crise aguda (Spamhaus listada, conta comprometida, reputação Bad sustentada com impacto operacional severo), o produto certo é Recuperação de Reputação, que inclui auditoria como parte do diagnóstico mas adiciona execução. Para empresa com volume baixo (abaixo de 50 mil emails/mês) sem regulação que exija conformidade documentada, o investimento de €490 a €1.490 não tem ROI claro e a recomendação é checagem self-service com ferramenta gratuita. Para empresa que quer monitoramento contínuo (não diagnóstico one-time), o produto é Monitoramento de Entregabilidade. A gente recomenda alternativa quando reconhece que o caso não é o nosso encaixe.

Sobre a estrutura tributária: fatura sai em euros de Viena, com tributação de importação de serviço somando 30% a 45% sobre o valor. Para o tier Standard a €490, o custo total chega à faixa de €640 a €710. Para o tier Pro a €990, fica entre €1.290 e €1.435. Para o tier Enterprise a €1.490, fica entre €1.940 e €2.160. O custo é one-time, sem recorrência, e a maior parte dos clientes brasileiros pagam via cartão de crédito internacional ou wire transfer em euros conforme preferência interna. A documentação fiscal sai com o detalhamento que o departamento financeiro brasileiro precisa para classificar como importação de serviço no fechamento contábil.

A última observação antes do resto da página. A auditoria não inclui execução. Cliente recebe diagnóstico mais plano de ação, e a execução é responsabilidade do cliente (time interno, fornecedor terceiro, ou serviço gerenciado nosso contratado em separado se o cliente decidir nesse caminho). A separação é deliberada: queremos que o relatório seja útil para o cliente independente de quem executar a remediação. Cerca de 30% dos clientes que fazem auditoria contratam serviço gerenciado nosso depois de ler o relatório. Os outros 70% executam internamente, contratam outro fornecedor, ou priorizam outro projeto. A taxa de conversão para serviço gerenciado nosso fica em 30% e a gente está confortável com esse número porque o objetivo da auditoria é entregar valor real, não funcionar como funil de vendas disfarçado.

O que a auditoria cobre

Sete dimensões técnicas avaliadas em profundidade

Cada dimensão é avaliada com profundidade técnica, evidência documentada e classificação de risco. O relatório final detalha cada item com apêndice referencial.

01

Configuração de DNS e autenticação

Validação completa de SPF (sintaxe, contagem de DNS lookups dentro de 10, ausência de mecanismos conflitantes, alinhamento), DKIM (selectors em uso identificados via aggregate, comprimento da chave, validade da assinatura, alinhamento), DMARC (registro publicado, política configurada, endpoint rua= e ruf=, alinhamento aspf e adkim, política de subdomínio sp=, percentual pct= apropriado), MX, PTR/rDNS de cada IP de envio, BIMI quando aplicável. Identificação de fonte de envio órfã (registro de fornecedor antigo ainda no DNS sem uso atual) ou conflitante (múltiplos SPF includes contradictórios).

02

Reputação atual em todas as fontes relevantes

Status em Google Postmaster Tools (reputação de domínio, reputação de IP, taxa de spam reportado por usuário, padrão de autenticação alinhada, status TLS, contagem de feedback loop), Microsoft SNDS (filter result Green/Yellow/Red, taxa de complaint, taxa de spam-trap por IP), Validity Sender Score, Cisco Talos, Cisco Sender Base, mais de 50 fontes de blacklist (Spamhaus zonas SBL/CSS/XBL/PBL/DBL, Barracuda, SORBS DUHL/SOCKS/HTTP, UCEPROTECT níveis 1 e 2, Invaluement, SURBL, URIBL, Mailspike, AbuseAt CBL, mais listas regionais incluindo as relevantes para Brasil).

03

Mapa de fontes de envio reais

Identificação completa de todas as fontes de envio que usam o domínio do cliente, via parsing de aggregate report DMARC (quando o cliente já tem coleta) ou via análise de log SMTP do cliente (quando coleta DMARC ainda não está rodando). Para cada fonte identificada, classificação por status de alinhamento (alinhado, parcialmente alinhado, não alinhado), categorização do tipo (ESP transacional, plataforma de marketing, CRM, helpdesk, automação de calendário, notificação de produto, fornecedor de assinatura digital), e recomendação específica para cada uma. Empresa brasileira de porte médio costuma ter 4 a 15 fontes; o relatório lista todas.

04

Qualidade da lista e padrão de envio

Análise dos últimos 90 dias de envio (volume, padrão de horário, segmentação por receiver, taxa de bounce sustentada, taxa de complaint, evidência de spam-trap captado, indicadores de lista comprada ou raspada quando aparece padrão como aumento abrupto de bounce permanente em segmento específico). Para clientes com lista de tamanho relevante, análise de saúde da lista por idade de assinatura, frequência de engajamento, e comportamento (open, click, complaint, unsubscribe).

05

Infraestrutura técnica

Avaliação da arquitetura de envio: MTA em uso (KumoMTA, PowerMTA, MailerQ, Postfix, ESP terceirizado, mistura), configuração de pool de IPs e segregação de tráfego, plano de aquecimento documentado (ou ausência de plano), monitoramento contínuo (ou ausência), governança operacional, gap específico identificado. Para clientes com infraestrutura própria, recomendação de mudança quando aplicável (otimização de configuração, segregação adicional, upgrade de versão).

06

Conformidade regulatória aplicável

Avaliação da postura técnica em relação às exigências regulatórias aplicáveis ao perfil do cliente: LGPD para empresa brasileira processando dado pessoal, Resolução BCB 4.658/2018 para banco e fintech autorizada pelo BACEN, RDC ANVISA 657/2022 para healthtech processando dado de paciente, Lei 14.133/2021 para fornecedor de setor público, GDPR para empresa com cliente europeu. Identificação de gap em controle técnico (DMARC enforcement como controle anti-phishing, retenção de log para auditoria, criptografia em trânsito, autenticação reforçada).

07

Plano de ação ranqueado

Lista de 8 a 25 ações priorizadas em quatro categorias de impacto: crítico (fazer essa semana, alto risco), alto (fazer esse mês, melhoria substancial), médio (fazer esse trimestre, otimização), baixo (considerar quando tiver recurso, refinamento). Para cada ação, descrição técnica detalhada, estimativa de esforço em horas de engenheiro do cliente, dependências entre ações, risco de não fazer, métrica para validar quando feita. O plano é construído para que time interno do cliente consiga executar com a documentação fornecida.

Quem contrata auditoria, com perfis brasileiros típicos

Que cinco perfis de cliente brasileiro contrataram a auditoria nos últimos dois anos?

Cenários compostos baseados em padrões reais de empresas brasileiras que contrataram auditoria entre 2024 e 2025. Detalhes anonimizados.

Cenário 01

SaaS brasileiro de Série B avaliando contratação de Email API EU

SaaS B2B brasileiro de Série B vendendo gestão financeira para PME, com expansão recente para Europa. Procurement do primeiro cliente europeu (banco regional alemão) levantou Schrems II e exigiu DPA europeu para o serviço de email. Time interno avaliando se contratar Email API EU nossa, AWS SES Europa, ou Postmark. Contratou auditoria Pro a €990 antes da decisão para entender qual a postura técnica atual e qual o ganho mensurável de migração. Auditoria identificou: 7 fontes de envio com 2 não alinhadas, DMARC parado em p=none, ausência de monitoramento contínuo, lista com taxa de bounce sustentada em 4.2% (acima do recomendado 2%). Plano de ação com 14 itens. Cliente migrou para nossa Email API EU 45 dias depois com crédito da auditoria aplicado.

Cenário 02

E-commerce brasileiro de moda com queda de placement não diagnosticada

E-commerce brasileiro de moda fast-fashion com 12 milhões emails/mês entre transacional e marketing observou queda gradual de open rate de 24% para 18% ao longo de 6 meses, sem causa óbvia. Time de marketing tentou várias hipóteses (mudança de subject line, re-segmentação, A/B testing de horário) sem efeito. Contratou auditoria Pro. Diagnóstico identificou que aggregate report DMARC mostrava 8% do volume sendo classificado como não-aligado por falha de DKIM em selector novo que time de DevOps havia adicionado para nova plataforma de cupom mas não publicou no DNS corretamente. Correção do selector em 2 dias resolveu o problema. Open rate voltou para 23% em 30 dias. Cliente reverteu o ROI da auditoria em 60 dias com aumento de receita de campanha.

Cenário 03

Banco brasileiro de médio porte com auditoria interna exigindo documentação

Banco listado em B3 (porte médio) com auditoria interna anual cobrindo segurança cibernética conforme Resolução BCB 4.658/2018. Auditor interno apontou que não havia documentação formal sobre postura de entregabilidade de email da operação, e exigiu mapeamento técnico documentado como parte do relatório de conformidade. Banco contratou auditoria Enterprise a €1.490 com escopo customizado. Auditoria cobriu 6 domínios de envio do banco e produziu relatório de 38 páginas com mapeamento detalhado, classificação de risco por dimensão e plano de ação com 22 itens ranqueados. Relatório entrou como anexo no relatório do auditor interno e foi aceito como evidência de controle. Não houve contratação de serviço gerenciado posterior porque o banco optou por executar internamente, e isso foi feito em 6 meses seguintes.

Cenário 04

Agência brasileira de cold email auditando stack de cliente final

Agência brasileira de cold email com 30 clientes ativos contratou auditoria Pro em uma operação específica de cliente final (SaaS brasileiro de Série A vendendo nos EUA) que estava com placement degradando. A auditoria foi paga pela agência como parte do serviço de gestão de cliente. Diagnóstico identificou que o stack de cliente final tinha pool de IP compartilhado em fornecedor diferente sendo usado em paralelo com o stack que a agência operava, criando contaminação cruzada de reputação. Recomendação: consolidar todo o tráfego em um único stack. Cliente final aceitou a recomendação, agência migrou tudo para Cold Email Infrastructure nossa, e o placement voltou para 87% em 30 dias. Auditoria virou ferramenta padrão da agência para diagnóstico de cliente final problemático.

Cenário 05

Healthtech brasileira sob ANVISA com cliente europeu exigindo conformidade documentada

Healthtech brasileira oferecendo plataforma de telemedicina para hospital brasileiro e europeu (operação na Espanha e Portugal). Cliente europeu pediu documentação de conformidade RDC ANVISA 657/2022 mais GDPR para o componente de email transacional (notificação de consulta, prescrição digital, recuperação de senha). Time interno não tinha bandwidth para fazer a documentação. Contratou auditoria Enterprise a €1.490. Relatório cobriu as duas regulações em paralelo (ANVISA para componente brasileiro, GDPR para componente europeu) e produziu mapeamento técnico que atendeu ambos requisitos. Cliente europeu aceitou e fechou o contrato. 90 dias depois, healthtech contratou Managed DMARC nosso para implementar enforcement como controle adicional documentado.

Tiers da auditoria

Três faixas conforme escopo e profundidade

O tier escolhido depende do escopo da operação a auditar e da profundidade de documentação necessária. Para empresa pequena ou média com 1 domínio principal e perfil simples de envio, o tier Standard cobre o trabalho. Para empresa com múltiplos domínios ou perfil mais complexo de envio com múltiplas fontes paralelas, o tier Pro adiciona profundidade. Para empresa de porte grande com requisitos regulatórios específicos ou auditoria forense documentada exigida por auditor externo, o tier Enterprise cobre escopo completo.

Standard

Para empresa pequena ou média com 1 domínio principal e perfil de envio simples.

€490 one-time

Relatório entregue em 10 dias úteis após início efetivo do trabalho

Ideal para

Empresa com 1 domínio de envio principal, volume entre 50 mil e 1 milhão de emails por mês, 1 a 4 fontes de envio identificáveis. SaaS pequeno, e-commerce de porte médio, agência verificando stack de cliente.

  • Auditoria das 7 dimensões em 1 domínio
  • Relatório de 20 a 25 páginas
  • Plano de ação com 8 a 12 itens ranqueados
  • Apresentação de fechamento por videocall (45 minutos)
  • Entrega em 7 a 10 dias úteis após início
  • Sem revisão posterior
Contratar Standard
Mais escolhido

Pro

O tier que a maioria contrata. Cobre múltiplos domínios e profundidade técnica adicional.

€990 one-time

Relatório entregue em 21 dias úteis após início efetivo do trabalho na auditoria

Ideal para

Empresa com 2 a 5 domínios de envio, volume entre 1 milhão e 10 milhões de emails por mês, 5 a 12 fontes de envio. SaaS Série A ou B, e-commerce de porte grande, agência atendendo múltiplos clientes.

  • Tudo do Standard, mais:
  • Auditoria das 7 dimensões em até 5 domínios
  • Relatório de 30 a 35 páginas
  • Plano de ação com 15 a 20 itens ranqueados
  • Análise de tendência baseline de 90 dias
  • Apresentação de fechamento por videocall (90 minutos)
  • Revisão posterior em 60 dias (1 ronda) com atualização
  • Entrega em 14 a 21 dias úteis
Contratar Pro

Enterprise

Para empresa de porte grande com requisitos regulatórios ou perfil técnico complexo.

€1.490 one-time

Relatório entregue em 35 dias úteis após início do engajamento, com revisões adicionais nos 90 dias seguintes

Ideal para

Empresa com 5 ou mais domínios de envio, volume acima de 10 milhões de emails por mês, banco brasileiro autorizado pelo BACEN, fintech sob regulação BACEN, healthtech sob ANVISA, listada em B3, fornecedor de setor público ou empresa pública, ou empresa com exigência de auditoria forense documentada formalmente para fins regulatórios ou para apresentação ao auditor externo independente.

  • Tudo do Pro, mais:
  • Auditoria das 7 dimensões em domínios ilimitados
  • Relatório de 35 a 40 páginas
  • Plano de ação com 20 a 25 itens ranqueados
  • Auditoria de conformidade regulatória detalhada (LGPD, BACEN, ANVISA conforme aplicável)
  • Análise forense de incidente histórico se aplicável
  • Apresentação de fechamento ao C-level
  • Revisão posterior em 90 dias (2 rondas) com atualização
  • Entrega em 28 a 35 dias úteis
  • Documentação adicional para auditor regulatório
Contratar Enterprise

Preço em euros, fatura emitida em Viena, Áustria, tributação de importação de serviço somando 30% a 45% adicional sobre o valor da fatura conforme município de domicílio fiscal do cliente brasileiro. Para clientes que decidem contratar serviço gerenciado nosso (Managed DMARC, Email API EU, Cold Email Infrastructure, etc.) dentro de 90 dias da entrega da auditoria, o valor pago na auditoria é creditado integralmente no primeiro mês do serviço gerenciado. Esse mecanismo elimina duplicidade de pagamento para clientes que querem usar a auditoria como diagnóstico antes de comprometer com serviço recorrente. Não há obrigação de contratar serviço gerenciado depois da auditoria; cerca de 70% dos clientes da auditoria executam a remediação internamente ou via outro fornecedor brasileiro especializado.

Perguntas reais

O que os prospects perguntam antes de contratar?

Qual a diferença entre essa auditoria e GlockApps, MailGenius ou Litmus Spam Filter Test?

GlockApps, MailGenius e Litmus são ferramentas self-service de teste de placement em seed inboxes (eles enviam um email seu para 50 a 200 inboxes controladas por eles e medem onde caiu). Esses produtos custam €30 a €200 e funcionam dentro do escopo limitado: te dão snapshot de placement no momento do teste. Não fazem auditoria de DNS, não analisam aggregate report DMARC, não identificam fonte de envio órfã, não avaliam padrão de envio dos últimos 90 dias, não incluem análise de qualidade de lista, não entregam plano de ação ranqueado por impacto. A nossa auditoria é trabalho de engenheiro humano que cobre o stack inteiro com profundidade. Para empresa que precisa snapshot de placement, GlockApps é mais barato e atende. Para empresa que precisa diagnóstico técnico completo do que está acontecendo e por quê, a nossa.

Posso usar o relatório em apresentação para diretoria ou em comunicação com auditor regulatório?

Sim, e várias empresas brasileiras usam exatamente para isso. O sumário executivo é construído em linguagem não-técnica para diretoria, com classificação de risco por dimensão e plano de ação ranqueado por impacto e esforço. Diretoria de empresa brasileira de porte médio consegue ler o sumário executivo em 15 minutos e tomar decisão informada sobre prioridades. Para auditor regulatório (BACEN, ANPD, auditoria interna ou externa de empresa listada), o apêndice técnico detalhado com evidência documentada serve como input para o relatório do auditor. A gente não substitui o trabalho do auditor regulatório, mas fornece a documentação técnica que ele precisa.

Quanto tempo dura o relatório como documentação válida?

O relatório é snapshot do momento em que foi feito. Para empresa que está executando o plano de ação, a relevância dura enquanto o plano está em execução. Para empresa que quer documentação atualizada após implementação, o tier Pro inclui 1 ronda de revisão em 60 dias e o tier Enterprise inclui 2 rondas em 90 dias. Para revisão completa anual, oferecemos auditoria de re-validação a 50% do valor original (€245 para Standard, €495 para Pro, €745 para Enterprise) que verifica se o que foi diagnosticado segue válido e atualiza o plano de ação para o próximo ciclo. A auditoria de re-validação é menos exaustiva que a inicial mas suficiente para empresa que mantém boa postura entre ciclos.

A auditoria é compatível com requisitos de procurement de cliente europeu?

Parcialmente. A auditoria entrega documentação técnica que cobre vários itens que aparecem em questionário de procurement europeu (DMARC enforcement, autenticação SPF/DKIM, monitoramento contínuo, retenção de log). Para empresa brasileira fechando contrato com cliente europeu de porte (banco, seguradora, governo), a auditoria pode ser usada como input para responder o questionário. Mas a auditoria não substitui certificação formal (ISO 27001, SOC 2 Type II, PCI-DSS) que cliente europeu de procurement avançado pode exigir. Para clientes brasileiros que querem certificação formal, indicamos consultoria especializada brasileira ou fornecedor europeu (BSI, DNV, Bureau Veritas, SGS) para a parte de certificação, e a auditoria nossa cobre a parte técnica de email especificamente.

Como funciona o crédito do valor da auditoria se contratar serviço gerenciado depois?

Funciona de forma simples: se o cliente contrata qualquer serviço recorrente nosso (Managed DMARC, Email API EU, SMTP Relay, Cold Email Infrastructure, Monitoramento de Entregabilidade) dentro de 90 dias da entrega da auditoria, o valor pago na auditoria é creditado integralmente no primeiro mês do serviço gerenciado. O crédito aparece como linha negativa na primeira fatura do serviço gerenciado, sem retenção de imposto que dificulte a compensação no lado contábil brasileiro do cliente. O mecanismo existe para que cliente não pague duplicado quando usa a auditoria como diagnóstico antes de comprometer com serviço recorrente. A janela de 90 dias é suficiente para tomada de decisão interna; após esse prazo, o crédito não aplica mais.

A auditoria considera receivers brasileiros (UOL, Terra, BOL) ou só Gmail e Outlook?

Considera os dois. A análise de placement cobre Gmail, Outlook 365 corporativo, Outlook.com consumer, Yahoo Mail, Apple iCloud (que dominam volume globalmente), mais receivers brasileiros (UOL Mail, Terra Mail, BOL, R7, iG, Globo Mail) que continuam relevantes em conta pessoal de brasileiro acima de 35 anos. Para empresa brasileira focada em audiência consumer com base mista, a cobertura de receivers locais agrega valor mensurável ao diagnóstico. Para empresa focada em B2B corporativo brasileiro, Gmail Workspace e Outlook 365 dominam (algo na faixa de 80% a 90% de empresa formalmente constituída) e os receivers locais aparecem como minoria estatística.

O que acontece se a auditoria encontrar problema crítico que exige ação imediata?

Comunicação imediata ao cliente com escopo do problema, sem esperar relatório final. Para problema crítico (conta comprometida em uso, listagem em Spamhaus que está bloqueando email crítico, vazamento de credencial em log público), a comunicação acontece dentro de 24 horas da identificação, com recomendação de ação imediata e oferta de upgrade para Recuperação de Reputação se o cliente precisar execução pela nossa equipe. O custo do upgrade é descontado do que já foi pago na auditoria. Esse caminho é raro (acontece em algo abaixo de 5% das auditorias), mas a equipe está estruturada para responder rápido quando aparece.

O cliente brasileiro paga em real ou em euros?

Em euros, com fatura emitida pela OS Domains GmbH em Viena, Áustria. Empresa brasileira contratante fica sujeita à tributação de importação de serviço (IRRF, ISS, PIS-Importação, COFINS-Importação) somando 30% a 45% sobre o valor. Para o tier Standard a €490, o custo total chega à faixa de €640 a €710. Aceitamos cartão de crédito internacional Visa/Mastercard/Amex (a maioria dos clientes brasileiros paga assim para auditoria one-time), wire transfer SWIFT em euros (compensa para tier Pro e Enterprise), e SEPA para clientes com conta bancária europeia. Pix não está disponível diretamente porque o gateway brasileiro de Pix exige pessoa jurídica brasileira ou estrutura adicional que não compensa para volume baixo de transação.

Quantos dias dura o engajamento na prática?

Standard: 7 a 10 dias úteis entre início e entrega do relatório final. Pro: 14 a 21 dias úteis. Enterprise: 28 a 35 dias úteis. O cronograma cobre análise técnica completa mais redação do relatório mais revisão interna antes de entregar. Para clientes com prazo apertado (auditoria regulatória com data limite, decisão de procurement com janela curta), oferecemos modalidade de entrega acelerada com adicional de 50% no valor: Standard em 5 dias, Pro em 10 dias, Enterprise em 21 dias. A entrega acelerada exige cliente disponível para responder dúvidas técnicas em menos de 4 horas durante o engajamento.

Vocês trabalham com banco brasileiro ou empresa em setor regulado especificamente?

Sim, no tier Enterprise. Para banco brasileiro, fintech autorizada pelo BACEN, healthtech sob ANVISA, ou fornecedor de setor público, a auditoria inclui dimensão adicional de conformidade regulatória detalhada com mapeamento dos controles técnicos exigidos pela regulação aplicável. Para banco, o relatório considera Resolução BCB 4.658/2018 sobre segurança cibernética e contratação de serviço relevante; para healthtech, RDC ANVISA 657/2022; para fornecedor de governo, Lei 14.133/2021 nas partes aplicáveis a serviço de tecnologia. A negociação contratual leva 2 a 4 semanas adicionais antes do início da auditoria efetiva, e envolve cláusula compatível com regulação aplicável.

A auditoria expõe dado pessoal de cliente do meu negócio?

Não. A análise de log SMTP é feita com endereço de destinatário redacted antes do compartilhamento conosco (cliente faz o redact ou usa nosso script padrão para fazer). A análise de aggregate report DMARC trabalha com dado já agregado por receiver, sem identificação individual. Para clientes em setor regulado (banco, fintech, healthtech) que precisam garantia adicional, oferecemos cláusula contratual customizada com restrições específicas de tratamento de dado e DPA assinado com escopo limitado de processamento. O acesso ao Postmaster Tools e SNDS do cliente exige permissão concedida pelo cliente, e a permissão pode ser revogada após a entrega do relatório.

Os engenheiros que fazem a auditoria são os mesmos que operam o produto principal?

Sim. A auditoria é conduzida por engenheiros operacionais que rodam KumoMTA, PowerMTA e MailerQ em produção há anos, não por consultores que só fazem relatório. A diferença aparece na profundidade do diagnóstico: engenheiro operacional reconhece padrão de problema que consultor abstrato não enxerga (por exemplo, configuração específica de PowerMTA que afeta placement em receiver específico, ou padrão de comportamento de KumoMTA sob carga que reflete em métrica de delivery). O relatório é assinado pelo engenheiro lead que conduziu a auditoria, com nome e papel identificado, para que cliente possa contatar diretamente em caso de dúvida durante implementação do plano de ação.

Posso contratar auditoria de competidor ou cliente potencial?

Não. A auditoria exige acesso a dado interno do cliente (DNS, log de envio, Postmaster Tools, SNDS, aggregate report DMARC) que só o controlador legítimo do domínio consegue conceder. A gente não faz auditoria sobre domínio sem permissão explícita do controlador, e não fazemos análise competitiva sobre operação de terceiro a pedido de cliente que quer entender postura técnica de competidor. Para análise externa de competidor (placement em seed inbox sem acesso ao stack), recomendamos GlockApps ou ferramenta similar que faz teste sem precisar permissão do alvo.

A auditoria avalia o ESP brasileiro que estamos usando atualmente (Locaweb Email Marketing, RD Station, ActiveCampaign Brasil, Mailbiz)?

Sim. A auditoria cobre qualquer ESP usado pelo cliente, brasileiro ou internacional. Para cliente brasileiro usando Locaweb Email Marketing, RD Station, ActiveCampaign Brasil, Mailbiz, Pensomail, ou qualquer outro ESP doméstico, a análise técnica é a mesma: validação de autenticação alinhada, verificação de pool de IP compartilhado vs dedicado, análise de qualidade de lista, identificação de problema operacional. A diferença é que para ESP brasileiro, a recomendação tipicamente envolve coordenação com suporte do ESP brasileiro para correção (que tem dinâmica própria), em vez de coordenação com fornecedor americano. Para empresa que usa mistura (ESP brasileiro para campanha em real para cliente brasileiro + ESP internacional para envio em moeda forte), a auditoria avalia os dois e recomenda governança de segregação adequada.

O relatório serve em apresentação para investidor em rodada de captação?

Parcialmente. O sumário executivo do relatório é construído em linguagem não-técnica e cobre classificação de risco geral, mas o foco do documento é técnico-operacional, não estratégico-comercial. Para SaaS brasileiro em rodada de captação que quer mostrar maturidade técnica (que vem aparecendo cada vez mais em due diligence técnica de fundo americano e europeu), o relatório serve como evidência de boa postura técnica em uma das dimensões avaliadas. Para presentación más amplia (postura de segurança geral, conformidade regulatória completa, governança de TI), o relatório nosso cobre só a parte de email e precisa ser combinado com outros documentos. Empresas que usam o relatório nessa função tipicamente o anexam ao data room como documentação técnica adicional.

Como o suporte trabalha durante o engajamento de auditoria?

Durante a auditoria, o cliente tem acesso a engenheiro nosso por email e Slack Connect compartilhado para responder dúvidas operacionais (configuração específica do ambiente do cliente, esclarecimento sobre permissão de acesso, validação de redact de log antes do compartilhamento). Tempo de resposta dentro de 8 horas úteis em horário comercial Viena (que cobre 9h às 18h horário de Brasília). Para tier Enterprise, comunicação via Slack Connect dedicado com canal exclusivo para o engajamento. Após a entrega do relatório, o tier Standard fecha sem suporte adicional; o tier Pro inclui 1 ronda de revisão em 60 dias com pergunta livre por email; o tier Enterprise inclui 2 rondas de revisão em 90 dias mais consulta livre por email durante esse período.

A auditoria pode ser combinada com outros produtos nossos no mesmo engajamento?

Sim. Empresa que sabe que vai contratar Managed DMARC depois pode combinar Auditoria Pro mais primeiro mês de Managed DMARC em pacote com 10% de desconto. Empresa que sabe que vai migrar ESP pode combinar Auditoria Pro mais primeiro mês de Email API EU com mesma estrutura. Para casos onde a auditoria já vem com decisão de contratação posterior conhecida, o pacote combinado simplifica a contratação e reduz o custo total. A combinação é discutida na ligação de descoberta inicial conforme intenção do cliente. Para clientes que preferem manter a auditoria como diagnóstico independente sem comprometer com decisão posterior, o caminho normal sem desconto continua disponível.

Como começar

Conversa de descoberta primeiro, contratação se fizer sentido

A primeira ligação é uma conversa de 30 minutos cobrindo o seu perfil de envio, o objetivo da auditoria, qual o tier que faz sentido. O resultado é uma recomendação clara com escopo e preço, ou uma indicação para outro fornecedor se a gente não for o encaixe certo. A maioria dos clientes brasileiros decide o tier na própria ligação inicial.

Telefone +43 1 205 11 80 Seg–Sex · 9–18 CET
Email [email protected] Resposta média 4h em horário comercial
Escritório Fleischmarkt 1, 1010 Wien Com agendamento