Voltar ao blog

Proxies para Threema em ambientes corporativos: configuração, segurança e contorno de bloqueios

Analisamos por que as empresas precisam de um proxy para Threema, como configurá-lo corretamente e qual tipo de proxy escolher para a segurança corporativa.

📅26 de junho de 2026
```html

Threema é um dos poucos mensageiros que realmente foi criado com foco na segurança corporativa: criptografia de ponta a ponta, mínimo de metadados, servidores na Suíça. Mas mesmo ele tem um ponto vulnerável — o nível da rede. Se o seu provedor bloqueia o tráfego, o departamento de TI corporativo limita as conexões ou você precisa ocultar o próprio fato de usar o mensageiro — um proxy é indispensável.

Neste artigo, vamos discutir como conectar um proxy ao Threema Work e à versão comum, qual tipo de proxy é adequado para tarefas corporativas e como não comprometer a segurança durante a configuração.

Por que Threema precisa de um proxy: cenários corporativos reais

Muitos pensam que, como Threema criptografa tudo com criptografia de ponta a ponta, um proxy é desnecessário. Na prática, isso não é verdade. A criptografia protege o conteúdo das mensagens, mas não oculta o fato de estar conectado aos servidores do Threema. É exatamente no nível da rede que surgem a maioria dos problemas corporativos.

Vamos considerar situações específicas em que um proxy se torna uma necessidade:

Cenário 1: Bloqueios regionais

Em vários países e redes corporativas, o tráfego para os servidores do Threema é bloqueado no nível do firewall. Isso é especialmente relevante para empresas que têm escritórios em países com regulamentação rigorosa da internet. Um funcionário abre o Threema Work — e vê um erro de conexão. O proxy, nesse caso, atua como um nó intermediário: o tráfego não vai diretamente para os servidores do Threema, mas através de um endereço IP em uma jurisdição permitida.

Cenário 2: Controle de TI corporativo

Grandes corporações frequentemente direcionam todo o tráfego dos funcionários através de um servidor proxy corporativo — para monitoramento, filtragem e registro. Se o Threema Work não estiver configurado para funcionar através desse proxy, ele simplesmente não se conectará na rede do escritório. Os administradores de TI precisam especificar claramente o proxy na configuração do aplicativo, caso contrário, o mensageiro estará indisponível nos dispositivos de trabalho.

Cenário 3: Inteligência competitiva e anonimato nas negociações

Para a alta administração e departamentos jurídicos, é importante não apenas o conteúdo das negociações, mas também os metadados: de quais IPs a comunicação está ocorrendo, em que região estão os participantes. O proxy permite ocultar o endereço IP real do escritório corporativo ou de um funcionário específico — especialmente durante negociações de M&A, quando até mesmo o fato de se comunicar com uma determinada parte pode ser uma informação sensível.

Cenário 4: Trabalho de funcionários remotos

Funcionários remotos de diferentes países enfrentam conexões instáveis com os servidores do Threema. Um proxy com servidores na região necessária ajuda a reduzir a latência e garantir uma conexão estável — especialmente para equipes na Ásia, América Latina e África, onde a conexão direta com os servidores suíços do Threema pode ser instável.

É importante entender:

O proxy não substitui a criptografia do Threema — ele opera em um nível diferente. Juntos, eles fornecem uma camada dupla de proteção: o conteúdo é criptografado e a origem do tráfego é oculta.

Threema Work vs Threema comum: qual a diferença para os negócios

Antes de prosseguir com a configuração, é importante entender com qual versão você está trabalhando. Isso determina como o proxy deve ser configurado.

Parâmetro Threema (pessoal) Threema Work (corporativo)
Gerenciamento Usuário Administrador de TI via MDM
Configuração do proxy Através das configurações do dispositivo Através do perfil MDM ou arquivo de configuração
Suporte a SOCKS5 Depende das configurações do sistema Suportado através da configuração
Políticas de segurança Não Políticas centralizadas
Público-alvo Indivíduos Empresas a partir de 10 pessoas

Para a maioria dos cenários corporativos, utiliza-se o Threema Work — ele permite que o administrador de TI gerencie centralmente as configurações, incluindo o proxy, através do sistema MDM (Mobile Device Management) — por exemplo, Jamf, Microsoft Intune ou VMware Workspace ONE.

Se você estiver usando o Threema comum — o proxy é configurado através das configurações do dispositivo (proxy Wi-Fi no iOS ou proxy global no Android). Isso é menos flexível, mas é uma opção viável para pequenas equipes.

Qual tipo de proxy escolher para Threema

Nem todo proxy é igualmente adequado para um mensageiro corporativo. Vamos analisar os principais tipos e sua aplicabilidade ao Threema.

Proxies residenciais

Proxies residenciais utilizam endereços IP de usuários domésticos reais. Este é o tipo mais discreto: o tráfego de um IP assim parece ser de um usuário comum da internet, e não de um servidor corporativo. Para o Threema, isso é importante em casos onde é necessário contornar bloqueios por tipo de endereço IP — muitos firewalls bloqueiam precisamente IPs de data centers, enquanto os endereços residenciais são permitidos.

A desvantagem dos proxies residenciais para um mensageiro corporativo é a rotação de IP. Se o proxy muda de endereço a cada poucos minutos, isso pode causar problemas de autenticação no Threema. Portanto, para essa tarefa, é necessário escolher proxies residenciais com sessões fixas — um IP fixo por um longo período (de 10 minutos a 24 horas).

Proxies móveis

Proxies móveis operam através de endereços IP de operadoras móveis (3G/4G/5G). Este é o tipo de tráfego mais confiável do ponto de vista de qualquer sistema de filtragem — IPs móveis raramente entram em listas de bloqueio. Para o Threema, proxies móveis são especialmente bons se os funcionários usam o aplicativo em smartphones: o tráfego se encaixa organicamente no padrão móvel.

Proxies móveis custam mais que os residenciais, mas para a segurança corporativa, esses custos são justificados — especialmente para a alta administração e departamentos jurídicos, onde o anonimato nas negociações é crítico.

Proxies de data center

Proxies de data center são a opção mais rápida e acessível. Eles são adequados para contornar firewalls corporativos dentro da empresa, quando o administrador de TI configura o servidor proxy para roteamento do tráfego do Threema. No entanto, se a tarefa é ocultar o tráfego corporativo de observadores externos, os IPs de data center são mais fáceis de identificar como "não residenciais".

Tipo de proxy Velocidade Anonimato Melhor cenário para Threema
Residenciais Média Alta Contornar bloqueios regionais
Móveis Média Máxima Anonimato da alta administração
Data Center Alta Média Servidor proxy corporativo

Configuração do proxy no Threema no Android

No Android, existem duas maneiras de conectar um proxy ao Threema: através das configurações de Wi-Fi ou através de um aplicativo de proxy (por exemplo, ProxyDroid ou Shadowsocks). A primeira opção é mais simples, a segunda — mais flexível.

Método 1: Através das configurações de Wi-Fi (proxy HTTP)

Este método funciona se o seu proxy suportar o protocolo HTTP/HTTPS. Passos:

  1. Abra Configurações → Wi-Fi no seu dispositivo.
  2. Pressione e segure a rede conectada — selecione "Alterar rede".
  3. Expanda "Opções avançadas".
  4. No campo "Proxy", selecione "Manual".
  5. Insira Host do proxy (endereço IP do seu servidor proxy) e Porta.
  6. Se o proxy exigir autenticação — forneça o nome de usuário e a senha nos campos correspondentes (disponível no Android 10+).
  7. Clique em "Salvar" e reinicie o Threema.

Verifique a conexão: no Threema, vá para Configurações → Sobre o Threema e clique na versão para enviar um diagnóstico — se a conexão estiver estabelecida, o aplicativo mostrará um status verde.

Método 2: Através de SOCKS5 (para usuários avançados)

O Android não suporta SOCKS5 diretamente em nível de sistema. Para usar SOCKS5 com o Threema, utilize o aplicativo ProxyDroid (requer root) ou configure um túnel através de SSH. Para usuários corporativos, é mais fácil usar um VPN corporativo em conjunto com o proxy — essa é uma solução mais gerenciável.

Dica para implantação corporativa:

Se você gerencia os dispositivos dos funcionários através de MDM (por exemplo, Microsoft Intune), a configuração do proxy pode ser aplicada centralmente a todos os dispositivos Android corporativos através de um perfil de configuração. Isso elimina a necessidade de configurar cada dispositivo manualmente.

Configuração do proxy no Threema no iPhone (iOS)

No iOS, o Threema utiliza as configurações de proxy do sistema — não há uma configuração separada dentro do aplicativo. O proxy deve ser configurado no nível da rede Wi-Fi ou através de um perfil MDM.

Configuração através do Wi-Fi

  1. Abra Configurações → Wi-Fi.
  2. Toque no ícone (i) ao lado da rede conectada.
  3. Role para baixo até a seção "Proxy HTTP".
  4. Selecione "Manual".
  5. Insira Servidor (endereço IP do proxy) e Porta.
  6. Se a autenticação for necessária — ative o interruptor "Autenticação" e insira o nome de usuário e a senha.
  7. Clique em "Concluído" — o iOS aplicará automaticamente as configurações a todos os aplicativos, incluindo o Threema.

Configuração através de arquivo PAC

Para uso corporativo, é mais conveniente usar um arquivo PAC (Proxy Auto-Configuration) — ele permite definir regras: qual tráfego passa pelo proxy e qual vai diretamente. Por exemplo, você pode direcionar apenas o tráfego do Threema através do proxy, deixando o restante do tráfego inalterado.

  1. Na seção "Proxy HTTP", selecione "Automaticamente".
  2. Insira a URL do arquivo PAC fornecida pelo seu departamento de TI.
  3. O iOS fará o download da configuração e a aplicará automaticamente.

Configuração através de MDM (Jamf, Intune)

A maneira corporativa é implantar um perfil de configuração através de MDM. No Jamf Pro, isso é feito através de Configuration Profiles → Network → Proxy. O perfil é aplicado automaticamente a todos os iPhones corporativos dos funcionários sem a necessidade de intervenção deles. Esta é a abordagem mais correta para empresas com um parque de dispositivos a partir de 20 unidades.

Configuração do proxy no Threema no computador (Windows/Mac)

O Threema Desktop (versão para computadores) também utiliza as configurações de proxy do sistema operacional. Não há uma configuração separada de proxy dentro do aplicativo — essa é uma decisão arquitetônica intencional dos desenvolvedores para simplificar a gestão.

Windows 10/11

  1. Abra Configurações → Rede e Internet → Proxy.
  2. Na seção "Configuração manual de proxy", ative o interruptor "Usar um servidor proxy".
  3. Insira Endereço (IP do proxy) e Porta.
  4. Se precisar excluir endereços locais — marque a caixa "Não usar servidor proxy para endereços locais".
  5. Clique em "Salvar" e reinicie o Threema Desktop.

macOS

  1. Abra Preferências do Sistema → Rede.
  2. Selecione a conexão de rede ativa (Wi-Fi ou Ethernet) e clique em "Avançado".
  3. Vá para a aba "Proxy".
  4. Ative o tipo de proxy necessário: "Proxy da web (HTTP)" ou "Proxy seguro da web (HTTPS)".
  5. Insira o endereço e a porta do servidor proxy. Se necessário — o nome de usuário e a senha.
  6. Clique em "OK" e "Aplicar". Reinicie o Threema Desktop.

Verificação do funcionamento do proxy:

Após a configuração, abra um navegador e acesse whatismyip.com — se o IP do seu proxy for exibido, e não o IP real do escritório, a configuração foi realizada corretamente. Em seguida, inicie o Threema Desktop e verifique o status da conexão.

Segurança corporativa: o que considerar ao implantar

O uso de proxies com Threema em um ambiente corporativo não é apenas uma tarefa técnica, mas também organizacional. Aqui estão os aspectos-chave que precisam ser trabalhados antes do início da implantação.

1. Escolha da jurisdição do servidor proxy

Os servidores do Threema estão localizados na Suíça. Para latência mínima, escolha proxies com servidores na Europa Ocidental. Se os funcionários trabalham da Ásia — procure proxies com pontos de presença em Cingapura ou Hong Kong. Importante: certifique-se de que a jurisdição do provedor de proxy não o obriga a armazenar e transmitir logs de tráfego — isso é crítico para a confidencialidade corporativa.

2. Política de registro do provedor de proxy

Solicite ao provedor de proxy a política de registro (No-logs policy). Para comunicações corporativas através do Threema, é crítico que o provedor não armazene metadados: quem, quando e com qual IP se conectou. Embora o conteúdo da conversa esteja criptografado no nível do Threema, os metadados das conexões podem ser sensíveis.

3. Protocolo: HTTP vs SOCKS5

Para o Threema, recomenda-se usar SOCKS5, se tecnicamente possível. O SOCKS5 opera em um nível mais baixo e não altera os cabeçalhos das solicitações — isso é importante para o funcionamento correto das notificações push e sincronização de mensagens. O proxy HTTP também funciona, mas pode causar atrasos na transmissão de dados binários (arquivos, mensagens de voz).

4. Autenticação do proxy: lista branca de IPs vs login/senha

Para uso corporativo, a autenticação por lista branca de IPs (IP-whitelist) é preferível — ela não requer o armazenamento de senhas nos dispositivos dos funcionários e é mais fácil de gerenciar. Se os funcionários trabalham com IPs dinâmicos (por exemplo, de casa), use autenticação por login e senha com rotação de credenciais a cada trimestre.

5. Monitoramento e proxy de backup

Para comunicações corporativas críticas, configure o monitoramento da disponibilidade do servidor proxy. Use pelo menos dois proxies em diferentes data centers — um principal e um de backup. Se o proxy principal estiver indisponível, os funcionários devem saber como alternar para o backup sem perder o acesso ao Threema Work.

Erros comuns ao usar proxy com Threema

Na prática, a maioria dos problemas com o funcionamento do Threema através de proxies surge devido a alguns erros típicos. Vamos analisá-los em detalhes, para que você não cometa os mesmos erros.

Erro 1: Uso de proxies gratuitos

Proxies gratuitos são uma ameaça direta à segurança corporativa. Eles frequentemente registram todo o tráfego que passa, podem injetar código malicioso e muitas vezes já estão bloqueados no nível dos servidores do Threema. Para um mensageiro corporativo que você usa precisamente por questões de segurança, um proxy gratuito anula completamente as vantagens do Threema.

Erro 2: Proxy com rotação de IP sem sessões fixas

Se o seu proxy muda de IP a cada 1-5 minutos, o Threema estará constantemente perdendo a conexão e exigindo reautenticação. Para o mensageiro, são necessárias sessões fixas — um IP fixo por pelo menos 30 minutos. Ao escolher um provedor de proxy, certifique-se de perguntar sobre o tempo máximo de sessão fixa.

Erro 3: Proxy apenas para alguns dispositivos

Uma situação comum: o proxy está configurado em laptops corporativos, mas não nos smartphones dos funcionários. Como resultado, a mesma conta do Threema Work se conecta ora através do proxy, ora diretamente — de IPs diferentes. Isso pode levantar suspeitas nos sistemas de segurança e levar ao bloqueio da conta. Configure o proxy de forma uniforme em todos os dispositivos de um funcionário específico.

Erro 4: Ignorar vazamentos de DNS

Mesmo com o proxy configurado, as consultas DNS podem contorná-lo — indo diretamente para o servidor DNS do provedor. Isso é chamado de vazamento de DNS. Como resultado, apesar do proxy, a localização real do escritório pode ser revelada. Verifique a presença de vazamento de DNS no site dnsleaktest.com após a configuração do proxy. Para corrigir isso, use DNS-over-HTTPS (DoH) ou configure o proxy com suporte a proxy DNS (SOCKS5 com DNS remoto).

Erro 5: Proxy sem suporte a WebSocket

O Threema usa WebSocket para manter uma conexão constante com o servidor (notificações push, entrega rápida de mensagens). Alguns proxies HTTP não suportam WebSocket ou bloqueiam conexões de longa duração. Antes de escolher um provedor, verifique o suporte a WebSocket — caso contrário, as notificações podem chegar com atraso ou não chegar de forma alguma.

Erro 6: Falta de testes antes da implantação

Antes de implantar o proxy em todos os dispositivos corporativos, teste a configuração em 2-3 dispositivos ao longo de uma semana. Verifique: estabilidade da conexão, velocidade de entrega de mensagens, funcionamento de chamadas de voz e transferência de arquivos. Somente após testes bem-sucedidos, passe para a implantação em massa.

Conclusão e recomendações

Threema é uma ferramenta poderosa para comunicações corporativas, mas sua segurança pode ser significativamente aumentada com a adição de um proxy no nível da rede. O proxy resolve problemas que a criptografia sozinha não cobre: contornar bloqueios regionais, ocultar o IP corporativo, roteamento de tráfego através do firewall corporativo e garantir uma conexão estável para funcionários remotos.

Principais conclusões do artigo:

  • Para contornar bloqueios regionais, use proxies residenciais com sessões fixas.
  • Para máxima anonimato da alta administração — proxies móveis.
  • Para implantação corporativa, configure proxies através de MDM (Jamf, Intune), e não manualmente.
  • Sempre verifique vazamentos de DNS após a configuração.
  • Exija do provedor suporte a WebSocket e sessões fixas de pelo menos 30 minutos.
  • Nunca use proxies gratuitos para comunicações corporativas.

Se você está procurando uma solução confiável para proteger as comunicações corporativas através do Threema, recomendamos considerar proxies residenciais — eles oferecem um alto nível de anonimato, risco mínimo de bloqueios e suporte a sessões fixas, necessários para o funcionamento estável do mensageiro. Para tarefas onde o máximo anonimato nas negociações é crítico, a melhor escolha são proxies móveis — seu tráfego se apresenta de forma mais orgânica para qualquer sistema de filtragem.

```