Por passar a apontar para www.gov.br no começo de 2019, um A record foi criado para o domínio gov.br naquela época. Essa simples configuração pode fazer muitos serviços “entenderem” que emails @gov.br existem, mesmo não havendo um MX record para isso.
Não tinha menor ideia que isso acontecia, bizarro. Artigo muito bom para o pessoal que manja mais do assunto.
Existe a possibilidade técnica de se criar uma rede de e-mails verificados?
É o tipo de feature bem específica (exibir o tique verificado) que poderia ser destinado a e-mails de grandes empresas e organizações governamentais. E acho fundamental o mesmo para sites.
O hotmail já chegou a ter isso, antigamente quando eu recebia emails do paypal ou blizzard ao lado do nome delas vinha o símbolo de um escudo verde, indicando que aquele email era verdadeiro.
Ultimamente venho recebendo diversos e-mail de acesso não autorizados na minha conta do ML. Como o ML não é exatamente conhecido por sua segurança devo imaginar que o problema seja parecido com o @gov.br, mas mesmo que não seja evito clicar nesses links.
Tem que ver o tipo de email que é esse. Se o seu endereço de email é muito simples, pode ser de analfabetos digitais pensando possuir aquele @ e fazer o login na conta do ML deles.
Acontece comigo direto, inclusive até com um cidadão do Panamá. Todo mês eu recebo o comprovante de depósito de seguridade social dele, e não há nada o que eu possa fazer, pois é disparado automaticamente.
Não é impossível.
Como meu email tem meu nome+sobrenome+iniciais é altamente possível. Mas do ML eu troco a senha de vez em quando, visto q é um dos sites q me obriga a ficar com o cartão cadastrado
Já existe algo assim. Se chama BIMI, e usa SPF, DKIM e DMARC para verificar os e-mails de grandes empresas.
Basicamente o BIMI faz o uso de DNS, certificados digitais e SVG para mostrar o logotipo da empresa que te enviou o e-mail, como na imagem a seguir:
Imagem: Google Cloud Blog.
O suporte ainda é limitado, apenas Gmail, Yahoo Mail e FastMail fazem o uso do BIMI.
Poderiam fazer isso pra sites também, mostrando o 
em sites oficiais de empresas
Então se tiver o logo da empresa, posso confiar no e-mail? Ou isso pode ser burlado?
Já existe. Você pode mandar o e-mail assinado digitalmente com um certificado. Mas há dois problemas:
- O certificado é por e-mail, o que pode ficar caro e difícil de gerenciar
- A maioria dos aplicativos de e-mail padrão (gmail, outlook, etc.) não permitem vc configurar, e muitos deles não exibirem visualmente se o e-mail foi assinado ou não.
Porém para e-mails oficiais do governo deve ser bem factível.
Explicação (em inglês):
Completamente burlável
Mas não explicou como faz, né?
Eu realmente adoraria saber se o Google e o Bank of America estão fazendo papelão na internet promovendo “avançar a segurança do e-mail” com algo “completamente burlável.”
É só por um SVG como foto de perfil da conta Google:
Este tópico foi automaticamente fechado após 92 dias. Novas respostas não são mais permitidas.