Pular para o conteúdo
OS Domains
Serviço recorrente · Autenticação

DMARC gerenciado para empresa brasileira que precisa autenticação fechada sem quebrar o que já funciona

DMARC gerenciado é um serviço que leva o seu domínio de uma política DMARC em p=none —que monitora mas não protege— até p=reject, onde o spoofing do seu domínio fica bloqueado, analisando os relatórios RUA e RUF e corrigindo o alinhamento de SPF e DKIM pelo caminho. A OS Domains opera esse serviço para empresas brasileiras que publicaram DMARC mas pararam no monitoramento, com implementação gradual até enforcement em 4 a 6 meses, análise humana dos relatórios e residência de dados na UE sob entidade austríaca.

A maioria das empresas brasileiras tem DMARC publicado em p=none há anos sem nunca ter migrado para enforcement. O motivo é simples: o caminho de p=none até p=reject passa por descobrir todas as fontes de envio do domínio (geralmente entre 4 e 15 sistemas distintos para empresa de porte médio brasileiro), corrigir a autenticação de cada uma sem quebrar produção, e migrar a política gradualmente sem perder email transacional ou de marketing legítimo no caminho. A gente faz exatamente isso. Descoberta inicial em 2 a 3 semanas, ciclo de correção em 4 a 8 semanas, monitoramento permanente depois disso. Inclui implementação de BIMI e coordenação de certificação VMC nos planos premium para o logo da empresa aparecer ao lado do nome do remetente na inbox do Gmail e em outros receivers compatíveis. A partir de €99 por domínio por mês para o tier de monitoramento.

Em breve

  • Implementação gradual de p=none a p=reject em 4 a 6 meses, com um plano de remediação documentado em vez de uma mudança de política às cegas.
  • Análise humana semanal dos relatórios RUA e, nas faixas altas, RUF forense, para identificar fontes legítimas e tentativas de spoofing antes de endurecer a política.
  • Três faixas: Monitoring 99 €/mês, Enforcement 299 € (o mais contratado) e Premium com BIMI 599 €.
  • BIMI configurado após o enforcement de DMARC (VMC à parte; incluído na Premium) para mostrar o logo verificado nas caixas compatíveis.
  • Residência de dados na UE sob entidade austríaca e documentação pronta para auditoria, com addendum LGPD para o remetente brasileiro.
O que esse produto resolve, e quando não vale a pena

Para empresa brasileira que tem DMARC parado em p=none há anos e quer fechar enforcement sem perder email legítimo no caminho

O DMARC virou obrigação prática em 2024 quando o Google e o Yahoo passaram a exigir DMARC publicado para qualquer remetente acima de 5.000 mensagens diárias. A Microsoft seguiu em 2025 com regra similar para Outlook 365 corporativo. O resultado é que a maioria das empresas brasileiras de porte médio publicou DMARC em p=none rapidamente para cumprir a obrigação técnica, e parou aí. O problema é que p=none não protege contra phishing usando o domínio da empresa, não impede spoofing dirigido a cliente do banco ou da fintech, e não rende benefício de placement nos receivers que tratam DMARC enforcement como sinal positivo de reputação.

O caminho de p=none até p=quarantine ou p=reject não é trivial. Empresa brasileira de porte médio costuma ter de 4 a 15 fontes de envio distintas para o domínio principal: ESP de email transacional, plataforma de email marketing (Locaweb Email Marketing, RD Station, Mailchimp), CRM com módulo de email (HubSpot, Salesforce), helpdesk (Zendesk, Freshdesk), automação de calendário (Google Calendar enviando convite), notificação de plataforma de RH (Gupy, Solides), assinatura de documento (DocuSign, Clicksign), notificação de produto (Stripe, Pagar.me, Asaas). Cada uma dessas fontes precisa ter SPF ou DKIM alinhado com o domínio antes da migração para enforcement. Sem isso, parte do email legítimo é descartada pelo receiver quando a política passa para p=quarantine ou p=reject.

A gente faz a descoberta dessas fontes via parsing de relatório agregado DMARC ao longo de 2 a 3 semanas, identifica quais estão alinhadas e quais não estão, coordena com o fornecedor de cada fonte para corrigir alinhamento (publicar registro CNAME para DKIM, adicionar incluir SPF, ajustar from-header), depois migra a política gradualmente: p=none com pct=10, p=quarantine com pct=10, p=quarantine com pct=50, p=quarantine com pct=100, p=reject com pct=10, p=reject com pct=100. O processo total leva 6 a 10 semanas para domínio típico, e durante todo o tempo o cliente acompanha o painel mostrando taxa de alinhamento em tempo real, identificação de fonte não alinhada, e detecção de spoofing via relatório forense.

Vale dizer claramente quando esse produto não é a melhor escolha. Para empresa brasileira sem DMARC publicado e sem regulação que exija (não é fintech, não é banco, não é setor público, não é SaaS B2B com cliente europeu), o caminho mais barato é o time interno publicar DMARC em p=none usando ferramenta gratuita como Postmark DMARC Digests ou EasyDMARC Free Tier para visualizar relatórios agregados, e parar aí. A obrigação técnica está cumprida. A migração para enforcement só vale a pena quando há benefício mensurável: redução de phishing dirigido ao cliente, melhoria de placement em receiver crítico, exigência regulatória (BACEN para banco, ANPD para fintech específica, contrato com cliente europeu exigindo DMARC enforcement como prova de prevenção contra fraude).

A audiência onde o produto entrega valor mensurável tem três perfis principais. Primeiro: banco brasileiro, fintech autorizada pelo BACEN, e instituição financeira regulada, onde a obrigação de prevenir phishing usando o domínio da empresa é parte da Resolução BCB 4.658/2018 sobre segurança cibernética. Segundo: SaaS brasileiro com cliente europeu, onde o procurement do cliente exige DMARC enforcement documentado como controle anti-fraude. Terceiro: empresa de varejo digital com volume alto e cliente que costuma ser alvo de phishing (Magalu, Mercado Livre, Lojas Americanas e similares têm enforcement total há anos justamente por isso).

Sobre a estrutura de preço para empresa brasileira: a fatura sai em euros de Viena, com tributação de importação de serviço somando 30% a 45% sobre o valor. Para o tier Monitoring a €99 por mês, o custo total chega à faixa de €130 a €145. Para o tier Enforcement a €299 por mês, fica entre €390 e €435. Para empresa que tem múltiplos domínios (matriz mais marcas e subsidiárias, comum em empresas listadas com várias linhas de negócio), oferecemos contrato multi-domínio com desconto progressivo a partir de 5 domínios. A ligação de descoberta cobre o cenário específico do seu portfólio de domínios.

A última observação antes do resto da página. Esse produto tem compromisso mínimo de 6 meses no tier Enforcement porque a migração de p=none até p=reject leva 6 a 10 semanas e o cliente que cancela antes do enforcement chegar não tem o resultado entregue. Para clientes que querem testar a metodologia antes de comprometer com o tier completo, oferecemos auditoria one-time DMARC a €490 (parte do produto Auditoria de Entregabilidade) que entrega diagnóstico documentado sem comprometer com o serviço recorrente. Cerca de 30% dos clientes começam pela auditoria e contratam o serviço gerenciado depois de ver o relatório.

Sintomas que indicam que o domínio precisa de DMARC enforcement gerenciado

Que seis sinais aparecem antes de a empresa nos procurar?

Empresa brasileira raramente contrata serviço de DMARC gerenciado por iniciativa proativa. O contato chega quando aparece um dos sintomas abaixo, e o time interno percebe que o trabalho de migrar para enforcement é maior que parece de fora.

Sinal 01

Cliente do banco ou da fintech reporta phishing usando o domínio

Cliente final liga para o suporte da empresa reclamando de email "do banco" pedindo confirmação de senha, atualização de dado bancário ou clique em link suspeito. Investigação interna confirma que o domínio do banco está sendo usado em phishing dirigido. DMARC em p=none não bloqueia o spoofing, e a quantidade de cliente prejudicado vira problema regulatório (BACEN exige notificação e plano de mitigação) ou reputacional (caso vira pauta de imprensa). Migrar para p=reject corta o ciclo na origem porque o receiver descarta a mensagem antes de chegar ao cliente.

Sinal 02

Procurement de cliente europeu exige DMARC enforcement no contrato

SaaS brasileiro vende para empresa europeia regulada (banco, seguradora, indústria, governo). O questionário de procurement do cliente lista DMARC enforcement como controle de segurança obrigatório, junto com SPF, DKIM, HSTS e outros itens técnicos. Sem documentação de DMARC enforcement, a aprovação do contrato fica travada. A migração precisa acontecer rápido para fechar a janela comercial.

Sinal 03

Auditoria interna ou externa apontou DMARC parado em p=none como ressalva

Time de auditoria (interna, externa, regulatória) revisou a postura de segurança e identificou DMARC em p=none como gap. A ressalva entrou no relatório com prazo de remediação. Time de TI tentou avançar para enforcement internamente, descobriu a complexidade de coordenar fontes de envio, e procura terceirização do trabalho operacional para cumprir o prazo do auditor.

Sinal 04

Migração de ESP ou MTA expôs problemas de alinhamento que estavam escondidos

Empresa migrou de SendGrid para Postmark, ou de plataforma A para plataforma B, e descobriu durante a migração que o domínio tinha vários registros SPF e DKIM herdados de fornecedores antigos não removidos. A complexidade de limpar a configuração e migrar para enforcement em paralelo virou projeto separado.

Sinal 05

Volume de email transacional cresceu e placement degradou

SaaS ou e-commerce brasileiro cresceu o volume de email transacional (notificação de pedido, recuperação de senha, alerta de produto) e o placement em receivers críticos como Gmail e Outlook 365 degradou. Investigação técnica identifica DMARC em p=none como sinal negativo que receivers passaram a tratar como bandeira amarela em conta de alto volume sem enforcement.

Sinal 06

BACEN, ANPD ou auditor regulatório citou DMARC enforcement como exigência

Para empresa em setor regulado (banco, fintech, seguradora, healthtech, setor público), regulador citou DMARC enforcement explicitamente em circular, normativo, ou ofício de fiscalização. Para banco brasileiro, a Resolução BCB 4.658/2018 sobre segurança cibernética cobre o tema de prevenção de phishing como parte de medidas técnicas razoáveis, e DMARC enforcement aparece como controle reconhecido pelo BACEN nas inspeções recentes.

Como o serviço funciona na prática

Seis fases que cobrem do diagnóstico até o monitoramento contínuo

O serviço é estruturado em seis fases. As três primeiras são intensivas e cobrem o caminho de p=none até p=reject. As três últimas são monitoramento contínuo, que é o que justifica a recorrência mensal.

01

Descoberta de fontes de envio

Configuração do endpoint rua para receber relatório agregado DMARC, parsing dos primeiros relatórios ao longo de 14 a 21 dias para identificar todas as fontes de envio que usam o domínio. Saída: inventário completo das fontes de envio, classificação de quais estão alinhadas e quais não estão, identificação de spoofing inicial se houver. Tempo típico: 2 a 3 semanas.

02

Correção de autenticação por fonte

Para cada fonte não alinhada identificada na fase 1, coordenação com o fornecedor para corrigir SPF ou DKIM. Para fontes próprias (ESP nosso, MTA self-hosted), correção interna. Para fontes de terceiros (HubSpot, Salesforce, Zendesk, Mailchimp, RD Station, Locaweb), abrimos ticket com o fornecedor solicitando publicação de selector DKIM ou registro CNAME, com follow-up até confirmação. Tempo típico: 3 a 5 semanas dependendo da responsividade dos fornecedores.

03

Migração gradual de política

Migração da política DMARC em incrementos: p=none pct=100 (status inicial), p=quarantine pct=10, monitoramento por 7 dias, p=quarantine pct=50, monitoramento por 7 dias, p=quarantine pct=100, monitoramento por 14 dias, p=reject pct=10, monitoramento por 7 dias, p=reject pct=100 (estado final). Em cada incremento, monitoramento ativo dos relatórios agregados para detectar fonte legítima sendo descartada. Reversão imediata se aparecer impacto inesperado. Tempo típico: 6 a 8 semanas.

04

Monitoramento contínuo de aggregate report

Depois de chegar em p=reject, o trabalho continua. Novas fontes de envio aparecem (departamento adiciona ferramenta nova, vendor faz upgrade, desenvolvedor cria integração). Cada nova fonte precisa ser identificada, alinhada e validada antes de ficar visível ao receiver como legítima. O monitoramento contínuo detecta novas fontes em até 48 horas e abre ticket para alinhamento. Permanente enquanto o contrato estiver ativo.

05

Análise de relatório forense

Para clientes em tier Enforcement e Premium, análise de relatório forense (ruf=) com identificação de tentativas reais de spoofing usando o domínio. O painel mostra origem do envio (ASN, IP, geolocalização aproximada), conteúdo da mensagem capturada, padrão de comportamento. Para casos onde a tentativa de spoofing aparece de forma sustentada, abrimos investigação coordenada com o cliente para identificar se há vazamento de dado, se há campanha dirigida contra cliente final, e qual ação de mitigação aplica.

06

BIMI e certificação VMC

Para clientes em tier Premium, configuração de BIMI (Brand Indicators for Message Identification) com publicação do registro DNS apontando para o logo SVG do cliente, e coordenação da certificação VMC (Verified Mark Certificate) via DigiCert ou Entrust. O resultado é o logo da empresa aparecendo ao lado do nome do remetente no Gmail e em alguns outros receivers. O processo de VMC leva 4 a 8 semanas porque exige verificação de marca registrada e revisão jurídica pelo CA. Cobramos o custo do certificado VMC repassado integralmente (€1.500 a €2.500 por ano dependendo do CA escolhido), sem markup.

Casos brasileiros típicos onde a gente entregou o serviço

Cinco perfis brasileiros que viraram cliente de DMARC gerenciado nos últimos dois anos

Os casos abaixo são compostos com detalhes anonimizados, baseados em padrões que vimos repetidamente em clientes brasileiros entre 2024 e 2025. A descrição cobre o cenário real de complexidade, prazo e resultado.

Cenário 01

Fintech brasileira autorizada pelo BACEN com obrigação de prevenir phishing dirigido a cliente

Fintech autorizada pelo Banco Central, com conta digital para pessoa física e cartão de crédito virtual, descobriu que o domínio principal estava sendo usado em campanhas de phishing dirigidas a cliente final. A obrigação regulatória do BACEN sobre prevenção de phishing pressionou o time de segurança a chegar em p=reject em prazo curto. Domínio tinha 11 fontes de envio: ESP transacional próprio, plataforma de marketing, CRM, helpdesk, automação de cobrança, gateway de pagamento (que também enviava email em nome da empresa), assinatura de termos, recovery de senha, notificação de cartão, programa de fidelidade, comunicação institucional. Migração levou 9 semanas, com 3 fontes exigindo coordenação intensa com fornecedor (incluindo um fornecedor com SLA de 5 dias úteis para mudança de DKIM). Resultado: p=reject ativo, redução de 89% nas campanhas de phishing dirigidas no trimestre seguinte conforme reportado pelo time de segurança da fintech.

Cenário 02

SaaS B2B brasileiro vendendo para empresa europeia, com procurement exigindo DMARC enforcement

SaaS brasileiro de Série B fechando contrato com seguradora alemã. Procurement do cliente listou DMARC em p=reject como controle obrigatório no questionário técnico. SaaS tinha DMARC em p=none há 18 meses sem migração. Domínio tinha 6 fontes de envio: API de email transacional, HubSpot CRM, Intercom para suporte, DocuSign, Mixpanel para notificação, calendar invite. Migração em 7 semanas. Resultado: contrato fechado, e o cliente alemão usou o caso como prova de "vendor segura" interno em outras avaliações.

Cenário 03

Banco brasileiro de médio porte com auditoria interna exigindo enforcement

Banco listado em B3 (porte médio, R$ 200 a 500 milhões em ativos) recebeu ressalva da auditoria interna sobre DMARC parado em p=none. Prazo de remediação de 90 dias. Domínio principal tinha 14 fontes de envio incluindo legacy mainframe enviando email em nome do banco (caso comum em banco brasileiro tradicional, e o mais difícil de corrigir tecnicamente). Migração em 11 semanas porque o legacy mainframe exigiu instalação de gateway intermediário com DKIM. Resultado: p=reject ativo, ressalva fechada na auditoria interna seguinte. Banco depois contratou tier Premium com BIMI para reforço de marca na inbox em campanha de educação financeira.

Cenário 04

Marketplace brasileiro com volume alto e exposição a phishing dirigido a vendedor

Marketplace de e-commerce brasileiro de porte médio (não Mercado Livre nem Magalu, mas competidor regional), com 50 mil vendedores ativos. Padrão de phishing dirigido aos vendedores usando domínio do marketplace pedindo "atualização cadastral" para roubar credencial. Marketplace tinha SPF complexo com mais de 12 includes herdados de fornecedores antigos, DKIM com 3 selectors em uso e 5 órfãos no DNS. Migração levou 8 semanas, com limpeza de SPF (redução para 6 includes válidos via SPF flattening) e remoção dos selectors órfãos. Resultado: p=reject ativo, e o time de produto adicionou indicador "verificado" em interface de email do vendedor mostrando o status BIMI quando entregue para Gmail Workspace.

Cenário 05

Healthtech brasileira sob ANVISA com dado de paciente e exigência de proteção contra phishing

Healthtech brasileira oferecendo telemedicina, com cliente em vários estados, processando dado de paciente sob LGPD e RDC ANVISA 657/2022. DMARC em p=none há 2 anos. Auditoria de compliance interna identificou risco de phishing dirigido a paciente pedindo dado de saúde sensível. Domínio tinha 9 fontes incluindo ferramentas de prontuário eletrônico, agendamento, cobrança, comunicação com paciente, prescrição digital. Migração em 8 semanas. Resultado: p=reject ativo, e o time de DPO usou a documentação na resposta à fiscalização da ANPD que aconteceu meses depois (sem ressalva sobre o domínio).

Verificações que o serviço cobre

Que quatro categorias de validação rodam continuamente nos domínios contratados?

A validação não é one-time. Receivers atualizam interpretação de regras, fornecedores mudam configuração, equipe interna faz mudança em DNS. Tudo isso pode quebrar autenticação silenciosamente. As verificações abaixo rodam continuamente.

Planos disponíveis

Três faixas, escolhidas pelo estágio em que o domínio está

A escolha de tier depende do estágio em que o domínio está. Para começar do zero (DMARC nem publicado), o tier Monitoring cobre o caminho de p=none até identificação de fontes. Para já chegar até enforcement, o tier Enforcement cobre o caminho completo até p=reject. Para empresas que querem o logo aparecendo na inbox via BIMI, o tier Premium adiciona a coordenação de certificação VMC.

Monitoring

Para empresa que precisa visibilidade do que está acontecendo com o domínio sem comprometer com migração para enforcement.

€99 / domínio / mês

Painel ativo em 24 a 48 horas após assinatura

Ideal para

Empresa publicando DMARC pela primeira vez para cumprir obrigação técnica do Google, Yahoo ou Microsoft. Empresa em estágio anterior à migração para enforcement, querendo entender o que tem antes de mudar política. Cliente avaliando o serviço antes de comprometer com tier maior.

  • Configuração inicial de DMARC em p=none
  • Endpoint rua= apontando para nosso parser
  • Painel com aggregate report parseado
  • Identificação de fontes de envio
  • Relatório mensal de tendência
  • Alerta de spoofing detectado em aggregate
  • Suporte por email com resposta em 24h úteis
  • Sem migração para enforcement (tier Enforcement cobre)
  • Compromisso mínimo de 3 meses
Contratar Monitoring
Mais escolhido

Enforcement

O tier que cobre o caminho completo de p=none até p=reject com correção de fontes e migração gradual.

€299 / domínio / mês

Migração completa em 6 a 10 semanas dependendo do número de fontes

Ideal para

Empresa que precisa chegar em enforcement por motivo regulatório (banco, fintech, setor público), por exigência de cliente europeu, ou por melhoria de placement. Empresa com 4 a 15 fontes de envio distintas. Empresa com volume acima de 100 mil mensagens por mês.

  • Tudo do Monitoring, mais:
  • Coordenação com fornecedor de cada fonte para alinhamento
  • Migração gradual p=none até p=reject (6 a 10 semanas)
  • Endpoint ruf= para análise de relatório forense
  • Alerta em tempo real de tentativa de spoofing
  • Revisão semanal durante a fase de migração
  • Relatório executivo mensal
  • Suporte por email e chat com resposta em 8h úteis
  • Compromisso mínimo de 6 meses
Contratar Enforcement

Premium com BIMI

Para empresa que quer o logo aparecendo na inbox do Gmail e em outros receivers que suportam BIMI.

€599 / domínio / mês

Enforcement em 6 a 10 semanas, BIMI mais 4 a 8 semanas após enforcement

Ideal para

Marca consumer brasileira com volume alto e reconhecimento de marca relevante para o público que recebe os emails. Banco, fintech autorizada pelo Banco Central, e-commerce, varejo digital, marketplace, plataforma de assinatura. Empresa que enxerga BIMI como diferencial de marca contra phishing dirigido ao cliente final. Empresa que já tem marca registrada formalmente no INPI ou em escritórios internacionais (ou está disposta a registrar) para coordenar a certificação VMC, que exige verificação de marca como pré-requisito.

  • Tudo do Enforcement, mais:
  • Configuração de BIMI completa
  • Coordenação de certificação VMC (DigiCert ou Entrust)
  • Custo do certificado VMC repassado a custo (€1.500 a €2.500/ano)
  • Validação do SVG no formato Tiny PS exigido
  • Suporte para verificação de marca registrada com escritório jurídico parceiro
  • Renovação automática do VMC enquanto o contrato estiver ativo
  • Suporte prioritário com resposta em 4h úteis
  • Compromisso mínimo de 12 meses
Contratar Premium

Preço em euros com fatura emitida em Viena, Áustria. Empresa brasileira contratante fica sujeita à tributação de importação de serviço (30% a 45% adicionais sobre o valor da fatura conforme município de domicílio fiscal). Para portfólio de múltiplos domínios (matriz mais marcas e subsidiárias, comum em empresa listada com várias linhas de negócio), oferecemos desconto progressivo a partir de 5 domínios contratados simultaneamente no mesmo contrato. Anual à vista tem desconto de 15%. Custo do certificado VMC no tier Premium é repassado a custo sem markup, e fica documentado em fatura separada anual. Compromisso mínimo: 3 meses para Monitoring, 6 meses para Enforcement, 12 meses para Premium (porque o ciclo de VMC é anual e renovação requer continuidade contratual).

Perguntas reais de empresa brasileira

O que os prospects perguntam antes de contratar?

Por que €299 por mês quando posso publicar DMARC sozinho de graça?

Porque publicar DMARC em p=none é grátis e qualquer time técnico faz em 30 minutos, mas migrar de p=none para p=reject sem quebrar email legítimo exige descoberta detalhada das fontes de envio (geralmente 4 a 15 sistemas distintos), correção de autenticação em cada uma (que envolve coordenar com fornecedor de terceiros), e migração gradual com monitoramento ativo. Time interno costuma travar na fase de coordenação com fornecedor (HubSpot suporte, Salesforce admin, Locaweb, RD Station, Mailchimp), porque cada fornecedor tem processo próprio e timeline própria. A gente faz essa coordenação em paralelo para múltiplos clientes e tem relacionamento operacional com a maioria dos fornecedores comuns.

A gente já tem DMARC em p=none há anos. Quanto tempo até chegar em p=reject?

Depende do número de fontes de envio que o domínio tem e da responsividade dos fornecedores. Domínio típico com 4 a 8 fontes (SaaS de porte médio) leva 6 a 8 semanas. Domínio com 8 a 15 fontes (empresa de porte grande com operação multi-departamento) leva 8 a 10 semanas. Domínio com mais de 15 fontes ou com fornecedor enterprise lento leva 10 a 14 semanas. O painel mostra a fase em que cada fonte está, e o cliente acompanha o progresso em tempo real.

Vocês competem com EasyDMARC, Postmark, Valimail, Red Sift?

Parcialmente. Esses fornecedores oferecem produto SaaS de DMARC focado em parsing de relatório agregado e dashboard. A diferença é que a gente entrega serviço gerenciado: o trabalho operacional de coordenar com fornecedor, corrigir alinhamento, migrar política gradualmente, é feito pela nossa equipe. EasyDMARC e Postmark vendem ferramenta; a gente vende ferramenta mais o trabalho operacional em cima. Para empresa com time interno técnico que quer fazer o trabalho sozinha usando ferramenta SaaS, EasyDMARC é alternativa econômica. Para empresa que quer terceirizar o trabalho operacional, a gente é a opção.

Vocês trabalham com banco brasileiro sob regulação do BACEN?

Sim, no tier Premium com termos contratuais customizados. O contrato inclui cláusula compatível com a Resolução BCB 4.658/2018 sobre segurança cibernética e contratação de serviços relevantes em nuvem, com descrição clara de obrigações de operadora, retenção de log forense, notificação de incidente em 24h e direito de auditoria pelo banco. A negociação dos termos leva 2 a 4 semanas e envolve o jurídico do banco coordenando com o nosso jurídico austríaco mais escritório parceiro brasileiro. Para banco regulado, o tier Premium é o ponto de partida porque o ciclo regulatório de auditoria recorrente é anual e justifica o compromisso mínimo de 12 meses.

A LGPD exige DMARC?

Não diretamente. A LGPD não menciona DMARC especificamente. O que a LGPD exige é "medidas de segurança técnicas e administrativas" (Art. 46) para proteger dado pessoal de tratamento não autorizado. Para empresa que processa dado pessoal sensível (banco, fintech, healthtech, setor público), DMARC enforcement faz parte do conjunto de medidas técnicas razoáveis para prevenir uso indevido do domínio em phishing dirigido a cliente. Em fiscalização da ANPD, DMARC enforcement aparece como controle reconhecido. A gente fornece a documentação técnica que o DPO da empresa precisa para listar DMARC enforcement como medida de segurança aplicada, mas o trabalho de classificação jurídica cabe ao DPO.

Como funciona o BIMI no Brasil? Os receivers brasileiros (UOL, Terra, BOL) suportam?

BIMI é suportado nativamente pelo Gmail (que tem participação dominante em conta pessoal e corporativa no Brasil) e pelo Apple Mail no iOS. Outlook 365 suporta limitado. Os receivers brasileiros tradicionais (UOL Mail, Terra Mail, BOL, R7, iG, Globo Mail) não implementam BIMI no momento. Para empresa brasileira focada em audiência consumer, o impacto principal do BIMI é no Gmail (maioria do volume) e no Apple Mail (usuários iPhone), que cobre algo na faixa de 70% a 85% da base consumer brasileira dependendo do perfil de cliente. Para audiência corporativa, depende fortemente do mix Gmail Workspace versus Outlook 365 da base. A gente discute o impacto esperado para o seu caso específico na ligação.

O custo do certificado VMC vale a pena para empresa brasileira?

Depende do volume e do reconhecimento de marca. Para banco brasileiro (Itaú, Bradesco, Santander, Caixa, Nubank, Inter, C6), fintech grande (Stone, PagBank, Cielo), varejo digital (Magalu, Mercado Livre, Lojas Americanas, Casas Bahia) e marcas consumer com alta exposição a phishing dirigido, o VMC paga rapidamente em redução de tentativas de fraude bem-sucedidas e em reforço de marca na inbox. Para empresa B2B de porte médio sem exposição direta a fraude consumer, o VMC é gasto com retorno marginal e a gente costuma recomendar parar no enforcement sem BIMI. A análise de retorno é caso a caso.

A gente usa Locaweb para hospedagem e RD Station para email marketing. Como isso entra no escopo?

Locaweb e RD Station entram como duas fontes de envio que precisam ser alinhadas. Para Locaweb, o caminho típico é publicar registro CNAME no DNS do domínio apontando para o servidor de email da Locaweb, e adicionar o include do SPF do Locaweb Email Marketing no SPF do domínio. Para RD Station, é processo similar com o sistema de assinatura DKIM próprio que o RD Station expõe. A gente coordena com os times de suporte dos dois fornecedores diretamente, e a maioria das configurações é resolvida em 1 a 2 semanas. RD Station tem documentação clara sobre alinhamento DMARC e o suporte costuma ser responsivo. Locaweb varia conforme a equipe que atender o ticket.

O que acontece se uma fonte de envio interna do cliente for difícil de corrigir?

A gente identifica, documenta, e oferece três caminhos. Caminho A: trabalho técnico interno do cliente para corrigir (publicar DKIM, ajustar configuração de envio). Caminho B: substituição da fonte por alternativa que tenha autenticação fácil (trocar plataforma de RH que não suporta DKIM por uma que suporte). Caminho C: aceitar o risco e configurar política de exceção via subdomínio (mover essa fonte específica para subdomínio com política diferenciada). A escolha cabe ao cliente. Vários clientes brasileiros descobrem na fase 1 que têm fonte legacy (sistema interno antigo, processo manual de envio em massa) que não vale o esforço de corrigir, e optam pela substituição como parte do projeto.

Qual o impacto em placement quando finalmente chegamos em p=reject?

Em receivers que tratam DMARC enforcement como sinal positivo (Gmail, Outlook 365, Yahoo Mail, Apple iCloud), o ganho de placement varia entre 2 e 8 pontos percentuais para conta com reputação prévia razoável. Em conta com reputação fraca, o ganho pode ser maior (até 15 pontos) porque DMARC enforcement compensa parcialmente sinais negativos de reputação. Em conta com reputação já excelente, o ganho é menor (1 a 3 pontos) porque o teto de placement já estava perto. Em receivers que ainda não tratam DMARC como sinal positivo (vários receivers regionais e legacy), o impacto em placement é zero, mas o impacto em proteção contra spoofing é igual em todos.

Como o suporte trabalha no horário brasileiro?

Suporte em horário comercial de Viena cobre 9h às 18h horário de Brasília, com engenheiros falando português brasileiro nativo. Para clientes Premium, suporte estendido 8h às 20h horário de Brasília, e PagerDuty integration para incidente fora do horário comercial. Documentação técnica entregue em inglês, mas relatório executivo mensal entregue em português brasileiro para diretoria do cliente. Slack Connect compartilhado disponível no tier Enforcement, dedicado no tier Premium.

O serviço integra com nossa solução de SIEM ou XDR?

Sim, no tier Enforcement e Premium. Eventos de relatório forense (tentativa de spoofing detectada, fonte legítima nova aparecendo, mudança de padrão de envio) são entregues via webhook em tempo real para endpoint configurado pelo cliente. O formato é JSON estruturado compatível com ingestion em Splunk, Sumo Logic, Datadog Security, ou SIEM brasileiro como Mvision e CrowdStrike. Para clientes com necessidade de integração específica (SOC interno do banco, MDR de fornecedor brasileiro), oferecemos custom webhook com formato negociado. A integração não tem custo adicional dentro do tier Enforcement.

Quanto tempo o cliente leva para ver retorno mensurável depois da migração?

Depende do retorno que o cliente está medindo. Para redução de phishing dirigido (medido por queixas no suporte, identificação por sistema anti-fraude, relatório forense detectando tentativas), o sinal aparece nos primeiros 7 a 14 dias depois de chegar em p=reject. Para melhoria de placement em receivers críticos (Gmail, Outlook 365), o ganho aparece gradualmente nos 30 a 60 dias seguintes conforme os receivers re-avaliam reputação do domínio com o novo sinal de DMARC enforcement. Para fechamento de auditoria, o sinal é imediato no relatório seguinte. Para fechamento de contrato com cliente europeu, o sinal é imediato no questionário de procurement reaberto. A gente compartilha a métrica relevante para o caso específico do cliente no relatório executivo mensal.

Como começar

Auditoria one-time primeiro, serviço gerenciado depois se fizer sentido

A maioria dos clientes começa pela Auditoria de Entregabilidade a €490, que entrega diagnóstico documentado da situação atual incluindo mapa de fontes de envio, classificação de cada uma, e roadmap recomendado. Com base no relatório, o cliente decide se contrata o serviço gerenciado ou faz a migração internamente. Cerca de 30% contratam o serviço depois da auditoria; o restante faz internamente ou prioriza outro projeto.

Telefone +43 1 205 11 80 Seg–Sex · 9–18 CET
Email [email protected] Resposta média 4h em horário comercial
Escritório Fleischmarkt 1, 1010 Wien Com agendamento