O que um Endereço de E-mail Revela sobre um Usuário (PT-BR)

Um novo usuário digita um e-mail no cadastro. Parece uma sequência de caracteres. Não é.

Antes de você pedir um documento ou fazer uma correspondência facial, esse endereço já está lhe dizendo coisas: se a caixa de entrada é real, se o domínio aceita e-mails, se o provedor é um serviço descartável, e se o endereço apareceu em vazamentos de dados. Nada disso exige que o usuário faça algo — você obtém essas informações no momento em que ele insere a sequência.

Este post explica o que esses sinais significam, como as equipes antifraude agem sobre eles e como o Didit Email Verification os empacota em uma verificação de US$ 0,03 que você pode colocar na frente de qualquer fluxo de onboarding.

Principais conclusões

• Um endereço de e-mail é um sinal de fraude multidimensional: capacidade de entrega, tipo de provedor, reputação do domínio e exposição a violações, cada um detecta diferentes padrões de risco.
• E-mails descartáveis podem ser sinalizados antes mesmo de se pagar por uma única verificação KYC.
• A exposição a violações correlaciona-se com o risco de "credential stuffing" (preenchimento de credenciais) e "account takeover" (tomada de conta); uma alta contagem de violações no cadastro é um perfil diferente de um endereço corporativo novo.
• A inteligência de e-mail é um filtro de baixa fricção — usuários legítimos mal a notam, enquanto usuários que tentam fraudar seu onboarding têm menos opções baratas.
• O Didit Email Verification executa a entrega de OTP mais sinais de risco — BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, INVALID_EMAIL, DUPLICATED_EMAIL — em uma única chamada de US$ 0,03, configurável por aviso para aprovar, revisar ou recusar.

O que um endereço de e-mail realmente contém

Remova o @ e você terá duas partes: a parte local e o domínio. Ambas carregam sinais.

A parte local pode indicar automação. Sequências sequenciais, padrões de teclado ou sequências alfanuméricas longas e aleatórias são incomuns para usuários reais. Grupos de fraude criando contas em volume frequentemente geram partes locais programaticamente.

O domínio informa se a caixa de entrada é real e alcançável — a saúde do registro MX e a configuração DNS importam. Um domínio registrado há três meses sem histórico de e-mail anterior parece muito diferente de gmail.com ou acme-corp.com.

O provedor informa sobre a intenção. Provedores de e-mail descartáveis — serviços criados para gerar endereços temporários que expiram em minutos — são anormais em qualquer lugar. Existem milhares deles, e a lista cresce à medida que as ferramentas de fraude evoluem.

Os quatro sinais de fraude em um endereço de e-mail

1. Capacidade de entrega e validade MX

Se o domínio não possui registros MX válidos, a sintaxe está malformada ou a caixa de correio é conhecida por retornar e-mails, o endereço é impossível de entregar — o OTP não chegará e não faz sentido prosseguir. Detectar isso cedo economiza o custo total da verificação e evita o onboarding de um usuário que você não pode contatar.

2. Detecção de provedor descartável

Serviços de e-mail descartáveis existem para um único propósito: completar um cadastro sem deixar uma identidade rastreável. Usuários que realmente querem uma conta não têm razão para usá-los. Usuários abusando de programas de indicação, buscando testes gratuitos ou ciclando por contas banidas o fazem. A detecção de provedores descartáveis requer um banco de dados atualizado e mantido de serviços conhecidos — o Didit mantém isso como parte da avaliação de risco em cada verificação.

3. Exposição a violações

Quando bancos de dados vazam, os registros expostos contêm endereços de e-mail pareados com senhas ou dados pessoais. Um endereço que aparece em muitas violações conhecidas muda o perfil de risco: é antigo, amplamente usado e pode ter credenciais em circulação. Para o risco de tomada de conta, uma alta contagem de violações no cadastro merece uma análise mais aprofundada. Para fraude de contas sintéticas, o oposto geralmente se aplica — endereços descartáveis criados para fraude tendem a ter zero histórico de violações.

4. Uso duplicado

Um e-mail já cadastrado sob uma identidade de usuário diferente é um erro ou multi-contas. E-mail duplicado é tipicamente um sinal de revisão, e não uma recusa rígida — famílias às vezes compartilham um endereço — mas ele revela o padrão precocemente.

Por que o e-mail é um filtro inicial, não um veredito final

A inteligência de e-mail funciona em menos de 2 segundos, não exige esforço do usuário e impede fraudes de baixo esforço antes que você gaste com análise de documentos ou verificações de vivacidade. A US$ 0,03 na frente de um fluxo KYC central de US$ 0,33, detectar um e-mail descartável economiza US$ 0,30 por tentativa bloqueada — e mantém documentos fraudulentos fora da sua fila de revisão completamente.

O e-mail sozinho não é um quadro completo — usuários legítimos podem usar o Gmail, aparecer em bancos de dados de violações antigos ou apresentar comportamento MX estranho. Ele calibra seu gasto downstream; ele não substitui a verificação de documentos e biometria.

Como o Didit ajuda

O Didit Email Verification combina a entrega de OTP com uma avaliação de risco completa a US$ 0,03 por verificação. O Didit envia um código com limite de tempo para o endereço (6 dígitos, configurável de 4 a 8), os códigos expiram em 5 minutos e são permitidas até 3 tentativas de entrada por sessão.

Juntamente com o OTP, o Didit apresenta quatro avisos de risco:

Aviso	O que significa
BREACHED_EMAIL	O endereço aparece em um ou mais bancos de dados de violação de dados conhecidos; a resposta lista os serviços expostos.
DISPOSABLE_EMAIL	O endereço pertence a um provedor de e-mail temporário ou descartável conhecido.
UNDELIVERABLE_EMAIL	O endereço não pode receber e-mails — domínio inválido, sem registros MX ou endereço de retorno conhecido.
INVALID_EMAIL	O endereço está sintaticamente malformado.
DUPLICATED_EMAIL	O endereço já foi cadastrado sob uma identidade de usuário diferente em seu espaço de trabalho.

Cada aviso é configurável independentemente — defina duplicated_email_action, breached_email_action e disposable_email_action para APPROVE, REVIEW ou DECLINE no Workflow Builder. Estão disponíveis tanto um modo baseado em sessão (fluxo Didit hospedado) quanto um modo de API autônomo (POST /v3/email/send/ → POST /v3/email/check/).

Casos de uso

Onboarding de fintech para consumidores — verificações de e-mails descartáveis e não entregáveis interrompem fraudes de conta de baixo esforço antes que qualquer verificação de documento seja paga. A exposição a violações sinaliza credenciais recicladas no cadastro.

Verificação de vendedores em marketplaces — um domínio de e-mail recém-criado em uma conta de vendedor é um sinal de alerta antes do KYB. A inteligência de e-mail oferece um sinal rápido e barato antes das verificações caras.

Abuso de indicações e promoções — a detecção de e-mails descartáveis é a principal contramedida para a coleta de indicações: maus atores ciclando por endereços descartáveis para coletar bônus de cadastro.

Fluxos de "step-up" — se o e-mail de um usuário muda no meio do ciclo de vida, refazer a verificação detecta a substituição por um provedor descartável — uma etapa comum na preparação de tomada de conta.

Como integrar com o Didit

Baseado em sessão (fluxo hospedado)

1. No Business Console, adicione o recurso EMAIL ao seu fluxo de trabalho e configure as três ações de risco.
2. Crie uma sessão — POST /v3/session/ com workflow_id, vendor_data e callback.
3. Abra session.url para o usuário — a coleta de e-mail, OTP e avaliação de risco acontecem em linha.
4. Leia o resultado via GET /v3/session/{sessionId}/decision/ ou session.status.updated. Os resultados do e-mail aparecem em email_verifications[].

API autônoma (par OTP servidor-servidor)

# Passo 1 — enviar o código
curl -X POST 'https://verification.didit.me/v3/email/send/' \
  -H "Authorization: Bearer $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "email": "alice@example.com", "vendor_data": "user-1234" }'

# Passo 2 — verificar o código (depois que o usuário o insere na sua UI)
curl -X POST 'https://verification.didit.me/v3/email/check/' \
  -H "Authorization: Bearer $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "email": "alice@example.com", "code": "123456", "disposable_email_action": "DECLINE" }'

A resposta da verificação sempre inclui os metadados completos do e-mail: breaches[] com os serviços expostos, a flag disposable e a flag deliverable.

Referência completa: Visão geral da Verificação de E-mail, catálogo de avisos, esquema de relatório.

Perguntas frequentes

A verificação de e-mail substitui a verificação de documentos?

Não — é um pré-filtro que impede fraudes de baixo esforço antes que você gaste com verificações de documentos e biometria.

O que é considerado um provedor de e-mail descartável?

O Didit mantém um banco de dados ativo de serviços de e-mail temporários conhecidos, atualizado continuamente. E-mails genéricos gratuitos (Gmail, Outlook) não são sinalizados como descartáveis; sinais de reputação separados cobrem esses padrões.

Um endereço de e-mail violado ainda pode ser legítimo?

Sim. A exposição a violações significa que o endereço apareceu em um banco de dados vazado, não que o usuário seja um fraudador. A agressividade com que você age sobre BREACHED_EMAIL depende da sua tolerância ao risco e da contagem de violações que a resposta retorna.

E se o e-mail do usuário for impossível de entregar?

O OTP não é enviado e a verificação para ali. Consulte seu contrato de faturamento sobre como as detecções de não entrega são contabilizadas.

Como funciona a verificação de e-mail duplicado?

DUPLICATED_EMAIL é acionado quando o mesmo endereço é cadastrado sob um vendor_data diferente em seu espaço de trabalho. O mesmo usuário se verificando novamente não o aciona.

Pronto para começar?

A verificação de e-mail é uma camada na superfície de fraude mais ampla do Didit — combine-a com análise de IP e dispositivo, verificação de documentos, biometria e triagem AML, tudo composable em um único fluxo de trabalho.

• Conheça o recurso → Documentação de Verificação de E-mail
• Veja na plataforma → Verificação de Usuário
• Verifique o preço → Preços — Verificação de E-mail a US$ 0,03, 500 verificações gratuitas/mês
• Comece grátis → business.didit.me