O mercado de auditoria de entregabilidade está cheio de produto que se chama de "auditoria" mas entrega muito menos do que isso. Tipicamente é teste automatizado de spam-tester em 10 a 20 seed inboxes (GlockApps, MailGenius, Litmus Spam Filter Test) com relatório padronizado mostrando placement em receivers populares, pontuação de spam-score automatizado, lista de blacklists checadas, recomendações genéricas tipo "publique DMARC, melhore engagement". Esse formato funciona como ferramenta diagnóstica para self-service, custa €30 a €200, e é útil dentro do escopo limitado dele. Não é o que a gente faz.
A nossa auditoria é trabalho de engenheiro humano analisando o stack do cliente em profundidade. Cobre DNS (registros publicados, validação de configuração SPF, DKIM, DMARC, MX, PTR, BIMI quando aplicável, identificação de fonte de envio órfã ou conflitante), reputação (presença em todas as blacklists relevantes ponderadas por peso em filtro corporativo, status no Google Postmaster Tools com baseline de tendência quando o cliente já tem dado coletado, status no Microsoft SNDS, Sender Score do Validity, indicadores Cisco Talos), infraestrutura (mapa de fontes de envio reais identificadas via aggregate report DMARC mais investigação de log do cliente, classificação de cada fonte por status de alinhamento, identificação de gap operacional em segregação de tráfego), qualidade de lista (taxa de bounce sustentada nos últimos 90 dias, taxa de complaint, evidência de spam-trap captado, indicadores de lista comprada ou raspada quando aparece padrão), e gap operacional (autenticação parcial, falta de monitoramento, ausência de plano de aquecimento documentado, falta de governança em fonte de terceiros).
O relatório final tem entre 20 e 40 páginas dependendo do tier escolhido. A estrutura é fixa: sumário executivo de 2 páginas em linguagem não-técnica para diretoria; classificação de risco por dimensão (DNS, reputação, infraestrutura, lista, governança) com semáforo verde-amarelo-vermelho; análise técnica detalhada com evidência (capturas de configuração atual, log redacted quando aplicável, métricas verificáveis, comparação com benchmark de mercado); plano de ação ranqueado por impacto e esforço (típico: 8 a 25 ações priorizadas em quatro categorias de impacto, com estimativa de esforço em horas de engenheiro do cliente para implementar); e apêndice técnico com referência detalhada para cada item do plano. O relatório fica com o cliente independente de contratação subsequente, e pode ser usado em auditoria interna, em apresentação para diretoria, em justificativa de orçamento de TI, ou em comunicação com auditor regulatório.
Quem contrata: empresa brasileira em três perfis principais. Primeiro: empresa que está prestes a tomar decisão sobre serviço gerenciado de entregabilidade (Managed DMARC, Cold Email Infrastructure, Email API EU) e quer diagnóstico independente antes de comprometer. A auditoria entrega o input para a decisão "vale a pena contratar serviço gerenciado ou o time interno consegue executar?". Segundo: empresa que prefere executar internamente mas precisa orientação técnica documentada para guiar o trabalho. A auditoria entrega o roadmap. Terceiro: empresa em situação de auditoria interna, externa ou regulatória que precisa documentação técnica formal sobre a postura atual de entregabilidade. A auditoria entrega o documento.
Quando não vale a pena: para empresa brasileira em situação de crise aguda (Spamhaus listada, conta comprometida, reputação Bad sustentada com impacto operacional severo), o produto certo é Recuperação de Reputação, que inclui auditoria como parte do diagnóstico mas adiciona execução. Para empresa com volume baixo (abaixo de 50 mil emails/mês) sem regulação que exija conformidade documentada, o investimento de €490 a €1.490 não tem ROI claro e a recomendação é checagem self-service com ferramenta gratuita. Para empresa que quer monitoramento contínuo (não diagnóstico one-time), o produto é Monitoramento de Entregabilidade. A gente recomenda alternativa quando reconhece que o caso não é o nosso encaixe.
Sobre a estrutura tributária: fatura sai em euros de Viena, com tributação de importação de serviço somando 30% a 45% sobre o valor. Para o tier Standard a €490, o custo total chega à faixa de €640 a €710. Para o tier Pro a €990, fica entre €1.290 e €1.435. Para o tier Enterprise a €1.490, fica entre €1.940 e €2.160. O custo é one-time, sem recorrência, e a maior parte dos clientes brasileiros pagam via cartão de crédito internacional ou wire transfer em euros conforme preferência interna. A documentação fiscal sai com o detalhamento que o departamento financeiro brasileiro precisa para classificar como importação de serviço no fechamento contábil.
A última observação antes do resto da página. A auditoria não inclui execução. Cliente recebe diagnóstico mais plano de ação, e a execução é responsabilidade do cliente (time interno, fornecedor terceiro, ou serviço gerenciado nosso contratado em separado se o cliente decidir nesse caminho). A separação é deliberada: queremos que o relatório seja útil para o cliente independente de quem executar a remediação. Cerca de 30% dos clientes que fazem auditoria contratam serviço gerenciado nosso depois de ler o relatório. Os outros 70% executam internamente, contratam outro fornecedor, ou priorizam outro projeto. A taxa de conversão para serviço gerenciado nosso fica em 30% e a gente está confortável com esse número porque o objetivo da auditoria é entregar valor real, não funcionar como funil de vendas disfarçado.