Pular para o conteúdo

Teste de falsificação de e-mail

Qualquer um consegue mandar um e-mail fingindo ser a sua empresa?

Descubra em segundos, lendo o DNS do seu próprio domínio, se um golpista pode se passar por você e enganar os seus clientes. Sem cadastro.

Leitura técnica na hora, direto do seu domínio. Nada é instalado e nenhum e-mail é enviado agora. (Domínio é o que vem depois do @ no seu endereço: em [email protected], o domínio é empresa.com.)

O seu Scorecard de Proteção de E-mail aparece aqui

Digite o seu domínio no campo acima e clique em Verificar. A leitura é na hora, sem cadastro.

Plano de correção

Receba os registros exatos para fechar a porta

O scorecard acima é o diagnóstico. Enviamos para o seu e-mail o relatório completo: a lista de todos os registros atuais do seu domínio, os registros exatos que faltam e o que cada lacuna deixa em aberto. Um documento para encaminhar a quem cuida disso na sua empresa.

Receber o meu plano de correção

Plano a caminho.

Enviamos o seu relatório de proteção de e-mail e o plano de correção. Se quiser, um especialista revisa o seu domínio com você.

Falar com um especialista

O que está em jogo

O golpe que se passa pelo chefe e aprova um pagamento

Falsificar um e-mail (spoofing) é enviar uma mensagem com o nome e o endereço da sua empresa no campo do remetente, sem nunca ter entrado na sua conta. Quando o alvo é uma transferência ou uma troca de dados bancários, o golpe tem nome: fraude do e-mail corporativo, o BEC.
Como acontece

Chega ao financeiro um e-mail “De: o nome do diretor”, de um endereço que parece o da empresa, pedindo: “transfere isto agora, fechei com o fornecedor, te explico depois”. O tom é o do chefe, a pressa é real, e a conta de destino é nova. O funcionário não tem como saber que a mensagem nasceu em outro servidor, do outro lado do mundo, porque o domínio não barra a falsificação. O pagamento sai. Quando a fraude aparece, o dinheiro já passou por três contas.

É a fraude por e-mail mais cara que uma empresa enfrenta, e começa num campo de remetente que ninguém fechou.

Só em 2024, a fraude do e-mail corporativo causou cerca de $2,8 bilhões em perdas reportadas, e o phishing e a falsificação de identidade por e-mail foram, juntos, o tipo de crime digital mais relatado do ano (FBI, Internet Crime Report 2024). Não é um risco abstrato: é o golpe que mais transfere dinheiro de empresas hoje.

A armadilha

“Eu uso Microsoft 365, então estou protegido”

É a frase que deixa a porta aberta. A proteção do Microsoft 365 cuida da sua caixa de entrada. A falsificação acontece na autenticação do seu domínio, e o golpe chega à caixa de entrada dos seus clientes, com o seu nome no remetente.

“O Microsoft já filtra o que chega para mim.”

Filtra. Mas a falsificação não é sobre o que você recebe, e sim sobre o que enviam usando o seu nome para enganar os seus clientes e fornecedores. Esse e-mail nunca passa pela sua caixa.

“Tenho antivírus e filtro de spam, estou coberto.”

Eles olham anexos e links suspeitos. Nada disso impede outro servidor de escrever o seu domínio no campo “De:”. Só a autenticação do domínio (SPF, DKIM e DMARC) faz isso.

“Minha empresa é pequena, ninguém vai me imitar.”

O atacante não escolhe pelo tamanho, escolhe pela porta aberta. Um domínio sem proteção é alvo automático, porque é barato e funciona. O nome que ele empresta para o golpe é o seu.

O Microsoft 365 é, inclusive, o alvo favorito justamente pelo volume de empresas que confiam nele. A camada que falta não está dentro dele: está nos registros do seu domínio.

As três chaves

O que fecha a porta da falsificação

Três registros no DNS do seu domínio, trabalhando juntos, decidem se um golpista consegue ou não enviar e-mail com o seu nome. É exatamente isto que o teste acima lê.

SPF

A lista de quem pode enviar por você

O SPF é a lista oficial dos servidores autorizados a mandar e-mail em nome do seu domínio. Quem recebe confere a origem da mensagem contra essa lista.

Na prática: a lista precisa terminar em recusa total dos não autorizados, senão muitos filtros ignoram a falha e deixam passar.

DKIM

O selo que prova que o e-mail é seu

O DKIM assina cada mensagem com um selo invisível, conferido contra uma chave publicada no seu domínio. Confirma que o conteúdo saiu mesmo de você e não foi adulterado.

Na prática: usa um seletor e uma chave pública no DNS. Sem ele, não há como provar a autenticidade da mensagem.

DMARC

A regra que manda rejeitar, e avisa você

O DMARC é a chave decisiva: diz ao mundo o que fazer quando um e-mail falha o SPF e o DKIM, e ainda entrega o relatório de quem anda tentando falsificar o seu domínio.

Na prática: a política precisa chegar a rejeitar a falsificação. É de longe a forma mais eficaz de impedir o golpe do falso chefe no nível do domínio.

A resposta

Segurança de e-mail gerenciada: a porta fechada, e mantida fechada

Publicar três registros uma vez não resolve. O e-mail muda, novos serviços passam a enviar por você, e a falsificação só fica barrada se a autenticação for mantida e os relatórios forem lidos.

Autenticação que fecha e se mantém

Configuramos SPF, DKIM e DMARC até a política de rejeição, e lemos para você os relatórios de quem tenta falsificar o seu domínio. A porta fica fechada, e cada nova tentativa vira um alerta, não uma surpresa no extrato.

Filtragem e continuidade 24 horas

Uma camada que barra o phishing antes da caixa de entrada, com acurácia próxima de 100% (dado do fabricante), e mantém o seu e-mail no ar mesmo quando o servidor cai. Você continua trabalhando, com tudo registrado e recuperável, inclusive o e-mail apagado do Microsoft 365.

O que está incluído na Segurança de E-mail Gerenciada

  • Autenticação do seu domínio configurada e mantida até a rejeição da falsificação, com a leitura dos relatórios de quem tenta se passar por você.
  • Filtro anti-phishing no gateway, que barra a ameaça antes da caixa de entrada.
  • Continuidade 24 horas: o seu e-mail no ar mesmo quando o servidor do provedor cai.
  • Arquivamento que recupera o e-mail apagado, inclusive o que sumiu do Microsoft 365.

Um só responsável pela sua cadeia de e-mail

Em vez de dividir a culpa entre o provedor, o filtro e quem mexeu no DNS, a Zamak responde pela cadeia inteira: autenticação, filtragem, continuidade e o relatório do que tentou passar. Uma conversa, uma fatura previsível, e uma equipe que opera junto com a sua, não no lugar dela.

Operamos com ferramentas certificadas em SOC 2 Type II, ISO 27001, HIPAA e PCI-DSS, como Microsoft Solutions Partner e membros do Addee Elite Group, com 15 anos protegendo empresas que não podem parar. As estatísticas de filtragem citadas são do fornecedor da plataforma (Virus Bulletin).

E se nada mudar

A porta aberta não avisa antes do golpe

Enquanto o domínio fica sem a regra que rejeita a falsificação, qualquer dia um e-mail “em seu nome” cai na caixa de um cliente, ou o seu próprio financeiro paga um boleto que parecia legítimo. O prejuízo direto vem em dinheiro que não volta. O indireto, mais caro, é o cliente enganado usando o nome da sua empresa.

A proteção leva pouco tempo para subir e passa a barrar a fraude desde o primeiro dia. Construir agora custa uma configuração. Construir no dia do golpe custa a fraude inteira, mais a conversa explicando por que a porta estava aberta.

Verificar o meu domínio agora

Defensabilidade: a verificação lê os registros públicos do seu domínio (fato, não opinião) e o veredito segue o critério técnico do DMARC como controle de rejeição. Nenhum domínio é declarado “100% seguro”: fechar a porta da falsificação é o que está ao alcance, e é o que entregamos.

Perguntas frequentes

Falsificação de e-mail, sem rodeios

É enviar uma mensagem com o nome e o endereço da sua empresa no campo do remetente, sem nunca ter acessado a sua conta. O golpista não invade o seu e-mail: ele apenas escreve o seu domínio no “De:”. Sem a autenticação correta no DNS, o destinatário não tem como saber que a mensagem é falsa.

Protege a sua caixa de entrada contra o que chega. Não impede que outro servidor envie e-mail usando o seu domínio para enganar terceiros. Essa proteção mora na autenticação do domínio (SPF, DKIM e DMARC), configurada nos registros de DNS, e não dentro do Microsoft 365.

O DMARC é o registro que diz aos servidores do mundo o que fazer quando um e-mail falha as verificações de autenticidade: deixar passar, separar ou rejeitar. Quando ele manda rejeitar, a falsificação do seu domínio é barrada na origem, e você ainda recebe o relatório de quem tentou. É a defesa mais eficaz contra a fraude do falso chefe (BEC).

Publicando os três registros corretamente: o SPF com recusa total dos não autorizados, o DKIM com a chave de assinatura, e o DMARC evoluindo até a política de rejeição, com a leitura contínua dos relatórios. É um trabalho que pede cuidado para não bloquear e-mail legítimo no caminho. A Zamak conduz essa configuração e a mantém.

Os registros sobem rápido e começam a valer em horas. O caminho até a rejeição total costuma ser feito por etapas, observando os relatórios para garantir que nenhum e-mail legítimo seja barrado. Órgãos de referência em segurança recomendam o DMARC justamente por ser a contramedida mais direta contra a falsificação.

Feche a porta

Veja quem pode estar usando o seu nome, e impeça

O teste mostra a foto de hoje. A Zamak fecha a porta e a mantém fechada: autenticação, filtragem e continuidade do seu e-mail, com um só responsável.

Falar com um especialista em segurança de e-mail

Revisamos o seu domínio com você e desenhamos o caminho até a porta fechada.

Agendar conversa

Quem na sua empresa cairia num golpe?

Avalie como o seu time reage aos ataques que chegam por e-mail, do phishing ao golpe do falso chefe.

Fazer o teste de phishing

Diagnóstico gratuito de exposição

Um retrato rápido de onde a sua empresa está mais exposta, além do e-mail.

Começar o diagnóstico

Verificação gratuita. A leitura usa os registros públicos do seu domínio e não envia nenhum e-mail.