Todos os artigos

Conhecimento

Golpistas enviaram spam do endereço real da Microsoft. Alguém consegue fazer isso com o seu?

Os hackers tiveram que invadir os sistemas da Microsoft para conseguir usar o nome dela. O uso indevido da maioria dos outros domínios não exige invasão nenhuma — só alguns registros de DNS não configurados. Veja a correção que protege a sua empresa e garante a entrega dos seus e-mails.

17 de junho de 2026 · Confidanti · 4 min de leitura

  • noticias
  • email
  • dns
  • entregabilidade
  • falsa identidade

No começo deste ano, pesquisadores flagraram golpistas enviando spam de um dos últimos endereços que você esperaria: msonlineservicesteam@microsoftonline.com, uma conta de notificação legítima da Microsoft. Eles criaram contas como novos clientes e manipularam os próprios sistemas da Microsoft para enviar mensagens fraudulentas que chegavam no destino com cara de verdadeiras.

O detalhe que torna isso digno de atenção: nada foi forjado. O e-mail veio genuinamente da Microsoft, então não havia remetente falso para um filtro de spam pegar.

Pessoas de fora não conseguem simplesmente enviar e-mail que pareça vir de microsoftonline.com e fazer esses e-mails chegarem nas caixas de entrada das pessoas. O domínio da Microsoft é configurado justamente para impedir isso. Por isso os golpistas tiveram que tomar o caminho difícil e caro de entrar por dentro do sistema real para tomar o nome emprestado.

A pergunta incômoda: o quão difícil seria para alguém enviar um e-mail que parece vir da sua empresa? Se o seu domínio não estiver configurado para impedir, a resposta é: facilmente. O próprio protocolo de e-mail permite que qualquer pessoa coloque voce@suaempresa.com no campo "De" a partir de qualquer servidor na internet, e nada impede a mensagem de cair na caixa de entrada do seu cliente como se fosse você.

A proteção está no seu DNS

O que impede o uso de sua marca é um conjunto de registros nas configurações de DNS do seu domínio — em conjunto, a autenticação de e-mail. Você não precisa administrá-los pessoalmente, mas vale conhecer as três peças pelo nome, porque elas vão aparecer no momento em que alguém for olhar:

  • SPF é a lista dos servidores autorizados a enviar e-mail por você.
  • DKIM é um selo à prova de adulteração que comprova que a mensagem veio mesmo de você.
  • DMARC une os dois e diz aos servidores que recebem o e-mail o que fazer com mensagens que falham a validação — e envia relatórios sobre quem está usando o seu nome.

Quando não estão configurados, o seu domínio é o alvo fácil que os golpistas da Microsoft não tinham. E é uma falha comum que encontramos. Escaneie o domínio de uma empresa e dois riscos aparecem com frequência, ambos classificados como HIGH em nossos relatórios:

HIGH — No SPF record. Receivers cannot validate that mail claiming to be from this domain comes from authorized servers.

HIGH — No DMARC record. Without it, receivers have no instruction on how to handle messages that fail.

Essa última linha resume o problema inteiro: uma mensagem forjada chega, e nada acontece — porque ninguém nunca disse ao servidor de destino o que fazer.

Uma configuração, dois ganhos

Fazer isso direito resolve dois problemas de uma vez, o que torna isto uma das raras tarefas de segurança com retorno imediato para o negócio.

Protege o seu nome. Configurada corretamente, ela impede que pessoas de fora se passem pelo seu domínio. Um golpista não consegue enviar e-mail aos seus clientes, fornecedores ou à sua equipe como se fosse você, evitando golpes como pedidos de pagamento ou suposta redefinição de senha.

Faz o seu e-mail de verdade ser entregue. A mesma configuração te ajuda a chegar na caixa de entrada do destinatário. Desde 2024, o Google e o Yahoo passaram a exigir que remetentes autentiquem seus e-mails sob risco de rejeição, e estes mesmos sinais são usados para decidir silenciosamente se a sua mensagem cai na caixa de entrada ou no spam. O domínio bem configurado faz as mensagens realmente chegarem e serem vistas.

Como fazer

Este é um projeto de tarefas simples que se estende por algumas semanas, por causa do tempo de replicação e do monitoramento. Mas é essencial seguir a ordem certa: ative as proteções, mas comece em modo de monitoramento primeiro, para confirmar que todos os seus e-mails legítimos (a ferramenta de newsletter, o aplicativo de faturamento, o CRM) foram adicionados e continuam funcionando, e só então ligue os bloqueios. Fazer na ordem inversa pode mandar o seu próprio e-mail para o spam. Feito com cuidado, é uma configuração única que seguirá rendendo frutos.

O limite desta solução

Essa configuração protege o seu domínio exato. Não impede um domínio parecido — suaempresa.com virando suaenpresa.com, ou um nome parecido apontando para um serviço estranho. Para proteger esses casos, é preciso cuidar de outra camada — e esse é um grande motivo pelo qual a sua equipe ainda precisa reconhecer um e-mail de phishing quando ele chega.

A proteção do domínio exato é a base, e a maioria das empresas ainda não a tem. A história da Microsoft só virou notícia porque abusar da Microsoft é difícil. Deixe difícil abusar da sua empresa também, cuide dos registros de DNS e reserve um tempo para monitorar os resultados por algumas semanas.

Não sabe o que o seu domínio diz sobre você? Uma verificação de DNS e e-mail faz parte de todo scan de exposição da Confidanti — fale com a gente e mostramos exatamente o que um atacante enxerga.