O DMARC virou obrigação prática em 2024 quando o Google e o Yahoo passaram a exigir DMARC publicado para qualquer remetente acima de 5.000 mensagens diárias. A Microsoft seguiu em 2025 com regra similar para Outlook 365 corporativo. O resultado é que a maioria das empresas brasileiras de porte médio publicou DMARC em p=none rapidamente para cumprir a obrigação técnica, e parou aí. O problema é que p=none não protege contra phishing usando o domínio da empresa, não impede spoofing dirigido a cliente do banco ou da fintech, e não rende benefício de placement nos receivers que tratam DMARC enforcement como sinal positivo de reputação.
O caminho de p=none até p=quarantine ou p=reject não é trivial. Empresa brasileira de porte médio costuma ter de 4 a 15 fontes de envio distintas para o domínio principal: ESP de email transacional, plataforma de email marketing (Locaweb Email Marketing, RD Station, Mailchimp), CRM com módulo de email (HubSpot, Salesforce), helpdesk (Zendesk, Freshdesk), automação de calendário (Google Calendar enviando convite), notificação de plataforma de RH (Gupy, Solides), assinatura de documento (DocuSign, Clicksign), notificação de produto (Stripe, Pagar.me, Asaas). Cada uma dessas fontes precisa ter SPF ou DKIM alinhado com o domínio antes da migração para enforcement. Sem isso, parte do email legítimo é descartada pelo receiver quando a política passa para p=quarantine ou p=reject.
A gente faz a descoberta dessas fontes via parsing de relatório agregado DMARC ao longo de 2 a 3 semanas, identifica quais estão alinhadas e quais não estão, coordena com o fornecedor de cada fonte para corrigir alinhamento (publicar registro CNAME para DKIM, adicionar incluir SPF, ajustar from-header), depois migra a política gradualmente: p=none com pct=10, p=quarantine com pct=10, p=quarantine com pct=50, p=quarantine com pct=100, p=reject com pct=10, p=reject com pct=100. O processo total leva 6 a 10 semanas para domínio típico, e durante todo o tempo o cliente acompanha o painel mostrando taxa de alinhamento em tempo real, identificação de fonte não alinhada, e detecção de spoofing via relatório forense.
Vale dizer claramente quando esse produto não é a melhor escolha. Para empresa brasileira sem DMARC publicado e sem regulação que exija (não é fintech, não é banco, não é setor público, não é SaaS B2B com cliente europeu), o caminho mais barato é o time interno publicar DMARC em p=none usando ferramenta gratuita como Postmark DMARC Digests ou EasyDMARC Free Tier para visualizar relatórios agregados, e parar aí. A obrigação técnica está cumprida. A migração para enforcement só vale a pena quando há benefício mensurável: redução de phishing dirigido ao cliente, melhoria de placement em receiver crítico, exigência regulatória (BACEN para banco, ANPD para fintech específica, contrato com cliente europeu exigindo DMARC enforcement como prova de prevenção contra fraude).
A audiência onde o produto entrega valor mensurável tem três perfis principais. Primeiro: banco brasileiro, fintech autorizada pelo BACEN, e instituição financeira regulada, onde a obrigação de prevenir phishing usando o domínio da empresa é parte da Resolução BCB 4.658/2018 sobre segurança cibernética. Segundo: SaaS brasileiro com cliente europeu, onde o procurement do cliente exige DMARC enforcement documentado como controle anti-fraude. Terceiro: empresa de varejo digital com volume alto e cliente que costuma ser alvo de phishing (Magalu, Mercado Livre, Lojas Americanas e similares têm enforcement total há anos justamente por isso).
Sobre a estrutura de preço para empresa brasileira: a fatura sai em euros de Viena, com tributação de importação de serviço somando 30% a 45% sobre o valor. Para o tier Monitoring a €99 por mês, o custo total chega à faixa de €130 a €145. Para o tier Enforcement a €299 por mês, fica entre €390 e €435. Para empresa que tem múltiplos domínios (matriz mais marcas e subsidiárias, comum em empresas listadas com várias linhas de negócio), oferecemos contrato multi-domínio com desconto progressivo a partir de 5 domínios. A ligação de descoberta cobre o cenário específico do seu portfólio de domínios.
A última observação antes do resto da página. Esse produto tem compromisso mínimo de 6 meses no tier Enforcement porque a migração de p=none até p=reject leva 6 a 10 semanas e o cliente que cancela antes do enforcement chegar não tem o resultado entregue. Para clientes que querem testar a metodologia antes de comprometer com o tier completo, oferecemos auditoria one-time DMARC a €490 (parte do produto Auditoria de Entregabilidade) que entrega diagnóstico documentado sem comprometer com o serviço recorrente. Cerca de 30% dos clientes começam pela auditoria e contratam o serviço gerenciado depois de ver o relatório.