A escolha de um provedor de email corporativo é uma das decisões de infraestrutura mais críticas que um gestor de TI faz. O email é o sistema nervoso da comunicação empresarial: contratos, negociações, aprovações, documentos fiscais, tudo passa por ali. Quando o email falha, a empresa para.
E, no entanto, muitas empresas escolhem seu provedor pelo preço por usuário, sem avaliar adequadamente as capacidades de segurança e backup. Este guia apresenta os critérios objetivos que todo gestor de TI deveria considerar antes de assinar o próximo contrato.
Pontos-Chave
- A perda de dados de email custa em média US$ 1.000 por usuário afetado (Osterman Research).
- 94% dos ataques começam por email, e phishing representa 36% das violações confirmadas (Verizon DBIR 2024).
- Backup corporativo deve ser contínuo ou em intervalos máximos de 4 horas.
- A LGPD exige demonstração de medidas técnicas adequadas de proteção de dados.
- Retenção mínima recomendada: 1 a 3 anos para a maioria das empresas; 5 a 10 anos para setores regulados.
Por que backup de email é mais crítico do que você imagina
Segundo a Osterman Research, a perda de dados de email custa em média US$ 1.000 por usuário afetado. Para uma empresa com 200 contas, um único incidente pode custar US$ 200 mil, sem contar o impacto operacional e reputacional.
O email corporativo não é apenas comunicação: é documentação de negócio. Contratos enviados por email têm validade jurídica. Aprovações por email são evidência de decisão. Histórico de comunicação com clientes é ativo da empresa.
As causas reais de perda de dados
As causas mais comuns não são ataques sofisticados. São situações do cotidiano:
- Exclusão acidental pelo usuário (alguém apaga a pasta errada)
- Conta comprometida (o invasor deleta mensagens para cobrir rastros)
- Falha do provedor (servidores e data centers sofrem incidentes)
- Migrações mal executadas (emails não são transferidos corretamente)
- Encerramento de contrato (dados perdidos sem exportação)
Backup protege contra todos esses cenários. Sem backup, você está apostando que nada disso vai acontecer. E a estatística do Verizon DBIR 2024 é clara: 68% das violações envolvem erro humano, exatamente o tipo de incidente que apenas um backup independente consegue reverter.
Critério 1: Proteção antiphishing e antispam
Segundo a Kaspersky, mais de 48% de todo o tráfego global de email em 2023 foi classificado como spam, e o phishing continua sendo o vetor inicial de 36% das violações corporativas. O email mais seguro é aquele em que a ameaça nunca chega ao usuário.
O que exigir
- Taxa de detecção comprovada acima de 99% (solicite relatórios reais, não marketing)
- Sandboxing de anexos (execução em ambiente isolado antes da entrega)
- Verificação de URLs em tempo real (não apenas contra listas estáticas)
- Proteção contra BEC (Business Email Compromise) com análise comportamental
- Quarentena acessível ao usuário com resumo diário
O que rejeitar
Provedores que não divulgam taxa de detecção, antispam baseado apenas em blacklists, ausência de sandboxing e qualquer sistema que dependa exclusivamente do usuário para identificar ameaças. A solução Antispam da Meile opera com eficácia de 99,9%, protegendo 400 mil caixas em produção.
Na prática, peça ao provedor candidato um período de teste ou proof of concept. Compare o volume de spam durante o teste com o que você recebe atualmente. Os números falam por si.
Critério 2: Autenticação de domínio (SPF, DKIM, DMARC)
A DMARC.org aponta que domínios com política reject sofrem redução de até 90% em ataques de spoofing bem-sucedidos. Esses três protocolos protegem seu domínio contra uso indevido. Sem eles, qualquer pessoa pode enviar emails fingindo ser da sua empresa.
- SPF (Sender Policy Framework) define quais servidores estão autorizados a enviar pelo seu domínio.
- DKIM (DomainKeys Identified Mail) adiciona assinatura criptográfica que prova que o email não foi alterado.
- DMARC une SPF e DKIM e define o que fazer com emails que falham.
O que avaliar no provedor
O provedor configura e monitora SPF, DKIM e DMARC como parte do serviço? Oferece relatórios DMARC para acompanhar tentativas de spoofing? Suporta política DMARC reject (a mais restritiva)?
A configuração incorreta desses protocolos pode fazer com que emails legítimos sejam rejeitados. É fundamental que o provedor tenha expertise comprovada na implementação, algo que a Meile consolidou em mais de 20 anos de mercado.
Critério 3: Sandboxing e proteção avançada
Segundo a Gartner, organizações que implementam sandboxing de email reduzem em mais de 70% a exposição a malware de zero-day. Antivírus tradicionais baseados em assinatura não detectam ameaças inéditas: o atacante cria um malware novo, anexa ao email, e o antivírus não encontra correspondência na base.
Sandboxing resolve esse problema. O anexo é executado em ambiente virtual isolado, onde o sistema observa o comportamento:
- Tenta se conectar a servidores externos?
- Modifica arquivos do sistema?
- Baixa payloads adicionais?
Se o comportamento for malicioso, o anexo é bloqueado, mesmo que nenhum antivírus o conheça.
O que avaliar
O provedor oferece sandboxing nativo? Qual o tempo de análise (deve ser inferior a 3 minutos)? Funciona para todos os tipos de anexo comuns (PDF, DOCX, XLSX, ZIP)?
Critério 4: Monitoramento em tempo real
Segundo a IBM, organizações com monitoramento ativo detectam incidentes em média 204 dias contra 292 dias sem monitoramento: uma diferença que pode salvar a empresa. Segurança sem visibilidade é como dirigir de olhos fechados.
Métricas essenciais para monitorar
- Volume de emails enviados e recebidos por período
- Ameaças bloqueadas por tipo (spam, phishing, malware, BEC)
- Logins suspeitos (localização incomum, horário atípico, múltiplas falhas)
- Status de entrega (emails estão chegando?)
- Uso de armazenamento por conta
- Atividade administrativa (quem alterou configurações?)
O painel deve ser acessível sem precisar abrir chamado. Se você precisa pedir um relatório ao provedor toda vez, a ferramenta é inadequada.
Critério 5: Backup e retenção
Chegamos ao backup propriamente dito. Os critérios técnicos incluem várias dimensões, e ignorar qualquer uma pode inviabilizar a recuperação no momento mais crítico.
Frequência de backup
O ideal é backup contínuo (cada email é copiado no momento da entrega). Aceitável: intervalos de até 4 horas. Inaceitável: backup apenas diário ou semanal.
Retenção
Para conformidade com a LGPD, a retenção deve cobrir todo o período de base legal. Setores regulados frequentemente exigem 5 a 10 anos. O Meile Mail oferece até 10 anos de retenção com arquivamento integrado.
Granularidade de restauração
Você deve poder restaurar um email específico, uma pasta ou uma conta inteira. Se o único recurso é "restaurar tudo", o provedor não é adequado para uso corporativo.
Independência
O backup deve ser armazenado em infraestrutura separada do email. Se o mesmo incidente que derruba o email também derruba o backup, você não tem backup. Pergunte onde os backups são armazenados.
Criptografia
Backups devem ser criptografados em repouso e em trânsito. Dados não criptografados em armazenamento externo são risco de vazamento e violação da LGPD.
Critério 6: Conformidade regulatória
A LGPD, o Marco Civil da Internet e regulamentações setoriais impõem requisitos específicos. A ANPD já aplicou sanções relevantes a empresas por ausência de medidas técnicas adequadas de proteção.
O que verificar
- LGPD (Lei 13.709/2018): exige medidas técnicas para proteger dados pessoais. O provedor deve fornecer DPA (Data Processing Agreement), preferencialmente com dados em território nacional.
- Setores regulados: instituições financeiras seguem normas do Banco Central; saúde segue a ANS; contabilidades seguem o CFC.
- Auditoria: logs que rastreiam quem acessou o quê e quando, essenciais em caso de incidente.
Critério 7: Controle administrativo
O gestor de TI precisa de controle granular sobre as contas de email. Capacidades mínimas incluem:
- Criação e remoção de contas sem depender do provedor
- Definição de políticas de senha por grupo
- Controle de acesso por IP e faixa horária
- Delegação de acesso temporário sem compartilhar senha
- Listas de distribuição com gestão autônoma
- Cotas de armazenamento por conta ou grupo
Provedores que exigem abrir chamado para qualquer alteração criam dependência e lentidão. O painel deve ser autossuficiente para operações do dia a dia. Quantas horas a sua equipe gasta por mês esperando suporte do provedor atual?
Um framework de avaliação
Para facilitar a comparação entre provedores, sugerimos pontuar cada critério de 1 a 5:
- Antiphishing e antispam: eficácia, sandboxing, machine learning
- SPF, DKIM, DMARC: configuração, monitoramento, suporte a reject
- Backup: frequência, retenção, granularidade, independência
- Monitoramento: tempo real, painéis, alertas
- Conformidade: LGPD, setoriais, logs de auditoria
- Controle administrativo: autonomia, granularidade, delegação
- Suporte: SLA, canais, expertise técnica
Some as pontuações e compare. Mas pondere: para a maioria das empresas, segurança e backup devem ter peso dobrado em relação aos demais critérios.
Conclusão
Escolher um email corporativo seguro com backup não é uma decisão pelo menor preço. É uma decisão de gestão de risco. O custo de um provedor robusto é previsível e mensal. O custo de um incidente pode ser devastador, como mostram os US$ 1.000 por usuário da Osterman Research.
Na Meile, construímos nosso serviço de email corporativo com esses critérios como premissa, não como funcionalidade adicional. Antispam multicamada com 99,9% de eficácia, SPF/DKIM/DMARC por padrão, backup com até 10 anos de retenção, monitoramento em tempo real e conformidade com a LGPD, tudo sustentado por 20 anos de mercado, 400 mil caixas gerenciadas e 8.000 clientes. É o mínimo aceitável para um email corporativo seguro.
Se você está avaliando provedores, use os critérios deste guia como checklist. Seu email merece o mesmo nível de diligência que qualquer outra infraestrutura crítica.
