Recebeu um e‑mail de @accountprotection.microsoft.com a pedir para preencher o ACSR e enviar um questionário com dados? Neste guia aprende a confirmar se é legítimo, que provas submeter e como recuperar a sua Conta Microsoft com máxima segurança — evitando phishing.
Visão geral do problema
Um utilizador perde o acesso à sua Conta Microsoft (MSA) — Outlook/Hotmail, OneDrive, Xbox, etc. — e recebe uma mensagem a partir de @accountprotection.microsoft.com a solicitar duas ações: (1) preencher o formulário de recuperação ACSR em https://account.live.com/acsr; (2) enviar, por um link seguro, um segundo documento com mais detalhes (contactos, assuntos de e‑mails, IPs utilizados, gamertag do Xbox, histórico de faturação, entre outros). A dúvida: é legítimo ou é phishing?
É legítimo o e‑mail de @accountprotection.microsoft.com?
Sim — quando o remetente está corretamente autenticado e as instruções apontam para domínios da Microsoft. O domínio @accountprotection.microsoft.com é usado pela Microsoft para comunicações automáticas de segurança e suporte relacionadas à conta. O ponto crítico é validar a origem e os destinos: o formulário de recuperação oficial é o ACSR, servido em https://account.live.com/acsr. A documentação oficial da Microsoft confirma que comunicações desse domínio são utilizadas para alertas de segurança e recuperação de conta.
Como verificar se a mensagem é genuína
- Confirme o domínio do remetente: o endereço deve terminar em
@accountprotection.microsoft.com. Ignore o “Nome para exibição” — verifique o domínio real. - Consulte os cabeçalhos completos da mensagem: procure por autenticação SPF/DKIM/DMARC aprovadas para o domínio. No Outlook na Web, abra o e‑mail → “Mais ações” → “Ver origem da mensagem”. No Outlook para Windows, “Arquivo” → “Propriedades” → “Cabeçalhos da Internet”.
- Valide os destinos: o formulário de recuperação deve ser
account.live.com/acsr. Se houver um upload seguro complementar, verifique se o endereço também pertence a um domínio Microsoft (por exemplo, termina em.microsoft.comou outros domínios oficiais da empresa). Se houver qualquer encurtador ou domínio estranho, não use. - Não clique a partir do e‑mail se tiver dúvidas: aceda manualmente a
https://account.microsoft.comouhttps://account.live.comescrevendo o endereço no navegador. - Desconfie de pedidos atípicos: a Microsoft nunca pede a sua palavra‑passe completa, não solicita pagamentos para desbloquear contas e não envia anexos executáveis.
Resumo acionável
| Passo | Ação recomendada | Observações |
|---|---|---|
| 1 | Confirmar a legitimidade do remetente | Verifique o domínio @accountprotection.microsoft.com e autenticações nos cabeçalhos. O domínio é usado pela Microsoft para alertas de segurança e recuperação. |
| 2 | Concluir o formulário ACSR (account.live.com/acsr) | Responda a todas as perguntas com dados verídicos. Quanto mais detalhes corretos, melhor a taxa de validação. Evite campos em branco. |
| 3 | Enviar o questionário complementar | Liste vários exemplos (≥ 3–4 por item quando possível): pastas do Outlook/Hotmail, assuntos enviados, contactos frequentes, IPs de origem, histórico de faturação, gamertag do Xbox, etc. |
| 4 | Aguardar análise | Um agente do suporte confirma a informação e responde para o e‑mail de contacto indicado no ACSR. Não forneça credenciais. |
| 5 | Se o ACSR falhar (ex.: conta com 2FA) | Abra support.microsoft.com/contact → Iniciar sessão para contactar o Suporte → Outros produtos → Gerir segurança da conta → Conversar com um agente. |
Guia passo a passo para preencher o ACSR com qualidade
O ACSR tenta comprovar que você é o legítimo proprietário, correlacionando dados que só o titular costuma saber. Foque em responder corretamente, completamente e de forma consistente.
- E‑mail de contacto: informe um endereço que você controla hoje; é para lá que o suporte responderá.
- Informações pessoais: nome completo tal como configurou na conta, data de nascimento correta, e detalhes regionais coerentes (país, idioma, fuso horário).
- Informações de serviços Microsoft utilizados: Outlook/Hotmail, OneDrive, Skype, Xbox, Teams (para MSA), etc.
- Relacione padrões de uso: pastas personalizadas (nomes exatos), contactos com quem trocou mensagens recentemente, assuntos de e‑mails enviados (títulos precisos, datas aproximadas), labels que criou, filtros/regras comuns.
- Endereços IP e locais de acesso: redes domésticas ou móveis usadas com frequência; cidade/país onde costuma iniciar sessão.
- Dados de pagamento/faturação (se aplicável): método usado em compras (ex.: últimos quatro dígitos de um cartão, país de faturação), datas aproximadas e valores de subscrições (Microsoft 365, Xbox Game Pass).
- Integrações ou detalhes de Xbox: gamertag, jogos usados recentemente, plataforma (console/PC), amigos com quem jogou nos últimos dias.
O que incluir no questionário complementar
Se o suporte pedir mais detalhes por um link seguro, envie um documento claro e organizado. Priorize precisão — números e nomes exatos aumentam a confiança do verificador.
| Evidência solicitada | Exemplos concretos aceitáveis | Boas práticas | Onde obter |
|---|---|---|---|
| Pastas do Outlook/Hotmail | Projetos_2024, Família, Contabilidade | Escreva os nomes exatos; cite 3–5 pastas personalizadas | Cliente web/desktop do Outlook ou app Móvel (lembrança do utilizador) |
| Assuntos de e‑mails enviados | “Fatura Abril 2025”, “Atualização do projeto Alfa” | Inclua 4–6 assuntos recentes, com mês/ano aproximados | Memória, rascunhos, outros destinatários podem confirmar |
| Contactos frequentes | Nome + e‑mail (ex.: Ana Silva <ana@exemplo.com>) | Liste 5–10 contactos que escrevem com frequência | Telemóvel, outras caixas de e‑mail, cadernos de contactos |
| Endereços IP usados | IPs públicos da sua rede doméstica ou móvel | Forneça 2–3 IPs, com cidade/país aproximados | Roteador/relatórios do ISP; notas pessoais |
| Histórico de início de sessão | Datas aproximadas, cidade/país, dispositivo (Windows, iOS) | Descreva padrão: “normalmente inicio sessão a partir de Lisboa (PT) no Windows 11” | Memória do utilizador; notificações antigas |
| Faturação/Compras | Últimos 4 dígitos do cartão, tipo de subscrição (Microsoft 365, Xbox), mês/ano de cobrança | Não inclua número completo; foque em dados parciais que o suporte pode validar | Faturas, e‑mails de recibo, extratos |
| Gamertag Xbox | g4m3rPT, jogos jogados e amigos recentes | Informe gamertag exata e 2–3 jogos recentes | App Xbox/PC/console |
| Configurações da conta | Idiomas, fusos, alias de e‑mail configurados | Mencione aliases e datas aproximadas de criação | Memória do utilizador; comunicações antigas |
Modelo de documento para o envio complementar
Use o formato abaixo (copie para um editor de texto). Inclua só informações que tem autorização para partilhar. Não coloque a sua palavra‑passe.
Assunto: Complemento ao pedido ACSR – <SEU ENDEREÇO BLOQUEADO>
E-mail de contacto (para resposta do Suporte):
1. Pastas personalizadas no Outlook/Hotmail:
-
-
-
2. Assuntos de e-mails enviados recentemente (títulos exatos + mês/ano aproximados):
- "" (mm/aaaa)
- "" (mm/aaaa)
- "" (mm/aaaa)
3. Contactos frequentes (nome + e-mail):
- <[email1@exemplo.com](mailto:email1@exemplo.com)>
- <[email2@exemplo.com](mailto:email2@exemplo.com)>
4. Locais/IPs típicos de início de sessão:
- , IP público (casa)
- , IP público (dados móveis)
5. Serviços Microsoft usados:
- Outlook/Hotmail, OneDrive, Xbox (gamertag: ), etc.
6. Compras/Assinaturas Microsoft (dados parciais):
- Microsoft 365 (últimos 4 dígitos do cartão: <####>, mês/ano de cobrança: )
- Xbox Game Pass ()
7. Observações adicionais relevantes:
-
Declaro que as informações acima são verdadeiras e destinam-se apenas a comprovar a minha identidade ao Suporte Microsoft. Erros comuns que fazem o ACSR falhar
- Dados vagos ou genéricos: “Enviei e‑mails para clientes” não ajuda; liste nomes e assuntos exatos.
- Campos em branco: sempre que possível, responda tudo; a falta de detalhes reduz a confiança.
- Informar um e‑mail de contacto inacessível: o suporte responde a esse endereço — garanta acesso contínuo.
- Confundir MSA com conta de trabalho/escola: o ACSR destina-se a contas pessoais Microsoft. Para contas da organização (Entra ID/Azure AD), o processo é com o departamento de TI.
- Dependência exclusiva de “memória recente”: traga evidências verificáveis (recibos, gamertag, nomes de pastas) para corroborar.
Conta com dois fatores (2FA) e Authenticator perdido
Se a conta tem 2FA e você perdeu o dispositivo, os métodos de recuperação podem exigir ajuda de um agente. Siga o caminho: support.microsoft.com/contact → Iniciar sessão para contactar o Suporte → Outros produtos → Gerir segurança da conta → Conversar com um agente. Leve consigo o máximo de evidências do quadro acima.
É phishing ou é legítimo? Tabela de decisão rápida
| Sinal | Legítimo | Suspeito |
|---|---|---|
| Domínio do remetente | Termina em @accountprotection.microsoft.com e passa SPF/DKIM/DMARC | Domínio parecendo “microsoft” mas com grafia estranha (ex.: @micros0ft.com) |
| Links | Solicita acesso manual a account.live.com/acsr ou account.microsoft.com | Aponta para encurtadores, domínios desconhecidos ou anexos executáveis |
| Solicitação de dados | Pede provas de uso (pastas, assuntos, IPs), nunca a palavra‑passe | Pede a palavra‑passe completa, códigos 2FA ou pagamento |
| Estilo da mensagem | Tom objetivo, instruções claras, sem pressão indevida | Ameaças, urgência extrema, erros gramaticais gritantes |
Boas práticas de segurança durante a recuperação
- Navegue manualmente para
account.microsoft.comouaccount.live.comem vez de clicar em links. - Evite redes públicas ao enviar dados; prefira uma ligação privada e atualizada.
- Guarde um registo do que enviou (ficheiros, datas), mas não armazene credenciais em texto simples.
- Se suspeitar de phishing, utilize a opção “Reportar phishing” no Outlook e elimine a mensagem.
Checklist após recuperar o acesso
| Ação | Objetivo | Como fazer |
|---|---|---|
| Alterar a palavra‑passe | Neutralizar acessos antigos | Entre em account.microsoft.com → Segurança → Palavra‑passe |
| Ativar verificação em duas etapas | Adicionar segunda barreira de segurança | Ative 2FA e instale o Microsoft Authenticator; guarde códigos de recuperação |
| Rever atividade de início de sessão | Detetar acessos não reconhecidos | Verifique dispositivos e sessões; termine as que não reconhecer |
| Atualizar métodos de segurança | Garantir canais de recuperação atuais | Atualize e‑mail alternativo, telefone e perguntas de segurança (se disponíveis) |
| Conferir faturação e subscrições | Evitar cobranças indevidas | Revise assinaturas (Microsoft 365, Xbox) e métodos de pagamento |
| Ativar alertas de segurança | Ser notificado de alterações críticas | Configure alertas de início de sessão e de alterações de conta |
Perguntas frequentes
A Microsoft irá pedir a minha palavra‑passe ou códigos 2FA?
Não. O suporte pode pedir provas de uso da conta, mas nunca a sua palavra‑passe completa, códigos de verificação em tempo real ou dados de cartão completos.
É seguro enviar IPs, assuntos e contactos?
Sim, quando o envio é feito por um canal seguro indicado pelo suporte. Envie apenas o necessário para comprovar a titularidade e evite partilhar dados de terceiros além do mínimo.
Não lembro assuntos ou pastas exatas. O que fazer?
Use pistas: nomes de projetos, clientes, familiares; verifique em caixas de e‑mail de destinatários; recupere recibos de compras Microsoft; consulte apps Xbox para a sua gamertag.
O ACSR funciona para conta de trabalho/escola?
Não. Para contas geridas pela sua organização (Entra ID/Azure AD), procure o departamento de TI. O processo é diferente e centralizado pelo administrador.
Recebi um “link seguro” mas não reconheço o domínio.
Não use. Em vez disso, responda ao suporte pedindo confirmação ou aceda manualmente ao portal de suporte para validar. Utilize apenas domínios oficiais da Microsoft.
Exemplo prático: como responder, do e‑mail ao desbloqueio
- Recebeu a mensagem? Valide o domínio do remetente e os cabeçalhos.
- Não clique: abra manualmente
account.live.com/acsre preencha tudo. - Se solicitarem um complemento, prepare o documento com as evidências da tabela — nomes exatos, datas aproximadas, dados parciais de faturação — e envie pelo canal seguro indicado.
- Aguarde o contacto do agente no e‑mail de recuperação fornecido por si. Mantenha‑se disponível para possíveis esclarecimentos.
- Assim que recuperar, faça o checklist pós‑recuperação: palavra‑passe nova, 2FA, revisão de atividade e métodos de segurança.
Padrões de legitimidade e proteção contra phishing
Mensagens legítimas da Microsoft seguem padrões de autenticação de remetente e congruência de conteúdo: remetente válido, pedido coerente com um fluxo oficial (ACSR), e destino a domínios Microsoft. Já fraudes exploram urgência, links obfuscos e pedidos de dados sensíveis de mais. Adotar a navegação manual para account.microsoft.com e recusar qualquer pedido de palavra‑passe ou pagamento reduz drasticamente o risco.
Conclusão
Em suma: sim, e‑mails provenientes de @accountprotection.microsoft.com podem ser legítimos e fazem parte do processo oficial de recuperação — sobretudo quando instruem a usar o account.live.com/acsr e a enviar um complemento por um canal seguro. A chave para o sucesso está em verificar a legitimidade e enviar provas detalhadas e exatas. Se o ACSR não resolver, avance para o chat com um agente pelo portal de suporte e leve consigo as evidências já organizadas. E, depois de recuperar, fortaleça a conta com 2FA, métodos de recuperação atualizados e monitorização de atividade.
Nota: Este guia baseia‑se nas práticas oficiais e públicas da Microsoft para alertas de segurança e recuperação de Conta Microsoft, adaptadas em linguagem clara para utilizadores de países lusófonos.