O SPF (Sender Policy Framework) e o DMARC (Domain-based Message Authentication, Reporting and Conformance) são os dois mecanismos fundamentais de autenticação de email. Sem eles, qualquer pessoa no mundo pode enviar emails em nome da sua organização — e os destinatários não têm forma automática de saber que o email é falso.
O que os dados mostram
A análise de 812 domínios .ao activos realizada pelo ZONDNS em Fevereiro de 2026 revelou:
- 47% sem qualquer registo SPF no DNS
- 71% sem registo DMARC (ou com política "none" — equivalente a não ter)
- Apenas 12% com DMARC em modo "reject" ou "quarantine" — a configuração que oferece protecção real
- Sectores mais afectados: comércio (61% sem SPF), educação (58%) e saúde (54%)
Consequências práticas
Um domínio sem SPF pode ser usado para enviar emails de phishing em nome de qualquer banco, ministério ou empresa angolana. O destinatário recebe um email que parece vir de "info@banco.ao" mas que na realidade foi enviado de um servidor na Europa de Leste.
Domínios sem DMARC não recebem relatórios de abuso — a organização nunca sabe que alguém está a usar o seu nome para fraude.
Porque ainda não está configurado?
A principal razão é a falta de consciência. O SPF e o DMARC são registos DNS simples que se configuram em minutos, mas requerem conhecimento técnico que muitas organizações angolanas ainda não têm internamente. O ZONDNS tem como missão identificar estas lacunas e alertar as organizações afectadas — o módulo SPF/DMARC está em desenvolvimento activo.