BIMI steht für „Brand Indicators for Message Identification“ und ist ein recht neuer Standard, welcher Benutzern helfen soll, legitime Mails von Spam und Phishing Mails zu unterscheiden. BIMI soll Unternehmen die Möglichkeit bieten, das Firmenlogo im Posteingang des Empfängers anzuzeigen. Ein recht ähnliches Verfahren, werden Outlook Benutzer kennen, wo das Foto des Absenders in Outlook angezeigt wird. Hier mal ein Beispiel für eine Mail von CNN wo „Brand Indicators for Message Identification“ zum Einsatz kommt:
Nach dem Öffnen der Mail wird das CNN Logo angezeigt, in diesem Fall kann ein Benutzer also erkennen, dass diese Mail mit sehr hoher Wahrscheinlichkeit tatsächlich von CNN stammt. Damit BIMI funktioniert, muss für die Absender Domain SPF, DKIM und DMARC konfiguriert sein. Die DMARC Policy muss dabei auf „Reject“ oder auf „100% Quarantäne“ konfiguriert werden. Bei vielen Domains sollte dies aber schon der Fall sein, sodass man eigentlich auch BIMI einsetzen könnte. Leider ist es aber nicht ganz so einfach, wie der folgende Artikel zeigt.
BIMI konfigurieren
Um BIMI zu konfigurieren, wird zunächst mal ein entsprechendes Logo benötigt. Das Logo selbst ist schon die erste Herausforderung, denn das Logo muss als Vektor Grafik (SVG) vorliegen. Im Prinzip wäre das ja noch einfach, wenn es sich nicht auch noch um das Format SVG Portable / Secure (SVG P/S) handeln würde. Dieses Format scheint sich nur durch Adobe Illustrator oder über Umwege erstellen lassen. Ich hatte zunächst einfach mittels Inkscape eine SVG Datei erstellt, leider ist das so nicht kompatibel. Schlussendlich habe ich hier ein YouTube Video gefunden, wo mittels Inkscape aus einem PNG ein SVG P/S erstellt wird:
Hier ist mein Logo welches ich zum Testen verwendet habe:
Wie man am Link oben erkennen kann, habe ich das Logo auf meinen Webserver hochgeladen, damit es auch öffentlich abrufbar ist. Eigentlich ist der Rest banal, denn es sind eigentlich nur 3 Steps laut BIMI Group erforderlich:
Step 1 ist für meine Domain bereits erfüllt und sollte generell bereits weit verbreitet sein: SPF, DKIM und DMARC. Eigentlich ist dies ja auch schnell eingerichtet. Step 2 ist das Logo, logisch, ohne geht es nicht, auch wenn man hier vielleicht lieber Standard SVG genommen hätte. Step 3 ist als empfohlen aber optional gekennzeichnet. Leider stimmt das so nicht, mehr dazu gleich. Step 4 ist ein simpler DNS TXT Record, in meinem Fall dieser hier:
default._bimi.frankysweb.de IN TXT “v=BIMI1; l=https://www.frankysweb.de/frankysweb_tiny_ps.svg
Mit dem BIMI Inspector lässt sich schließlich der Status prüfen. Das Tool prüft MX, SPF, DKIM,DMARC Einstellungen, sowie das BIMI SVG Logo, den BIMI DNS EIntrag und das Verified Mark Certificate (der optionale Step 3):
Bei meiner Domain wird hier nur das fehlende Verified Mark Certificate angezeigt, welches bei manchen Mailanbietern erforderlich sein könnte:
BIMI ist nun eigentlich schon fertig eingerichtet, wäre da nicht dieser optionale Step 3.
Wer unterstützt BIMI?
Auf der BIMI Group Webseite findet sich eine Übersicht der Anbieter, welche BIMI unterstützen. Microsoft spielt nicht mit, in Deutschland weit verbreitete Anbieter wie GMX und web.de ziehen die Unterstützung scheinbar in Betracht. Der Status „Considering“ ist da aber auch schon länger so (Ich meine mich an 2022 zu erinnern):
Ich hab es mit meiner Konfiguration, welche ja als gültig angezeigt wird, bei GMail, Yahoo und AOL probiert. In diesem Artikel habe ich gelesen, dass zumindest Yahoo und AOL BIMI ohne VMC anbieten, daher der Test:
Ich habe gehofft, dass mein Logo nun bei Yahoo und AOL angezeigt wird, leider war das nicht der Fall. Scheinbar setzen mittlerweile alle Anbieter das Verified Mark Certificate (VMC) voraus:
Und genau da liegt meiner Meinung nach auch ein Problem.
Was ist ein Verified Mark Certificate (VMC) und warum ist BIMI weit verbreitet?
Ein Verified Mark Certificate (VMC) ist eine digitale Signatur für das BIMI Logo. Ähnlich wie bei einem S/MIME oder SSL Server Zertifikat bestätigt das VMC die Echtheit des BIMI Logos. Technisch gesehen funktioniert das VMC auch ähnlich wie ein normales SSL Zertifikat. Ihr reicht euer Logo beio einer öffentlichen Zertifizierungsstelle ein (selbst signiert funktioniert nicht) und bekommt ein Zertifikat. Das Zertifikat liegt dann als PEM Datei auf einem Webserver und wird im BIMI DNS Eintrag mit angegeben. Hier mal als Beispiel von CNN:
v=BIMI1; l=https://amplify.valimail.com/bimi/time-warner/LFMoxJPK5xh-cable_news_network_inc2.svg; a=https://amplify.valimail.com/bimi/time-warner/LFMoxJPK5xh-cable_news_network_inc2.pem
Im Fall von CNN kommt das Zertfikat von DigiCert und man kann sich es auch unter Windows anschauen:
Mir ist übrigens nicht ganz klar, warum dieses VMC bei allen Anbietern erforderlich ist. Das Logo liegt auf meinem Webserver, der BIMI DNS Eintrag erfolgt in meiner Domain und das Logo wird via HTTPS übertragen. Die Mails, wo das Logo angezeigt werden soll, müssen erfolgreich SPF, DKIM und DMARC durchlaufen haben. Warum man dann noch mal eine Signatur bzw. ein Zertifikat für das Logo benötigt erschließt sich mir nicht.
Auf der BIMI Group Webseite sind übrigens genau zwei öffentliche Zertifizierungsstellen gelistet, welche VMCs ausstellen:
DigiCert möchte 1416,00 EUR pro Zertifikat haben, Entrust 1299,00 USD. Pro Jahr. Dieses kleine Logo kostet also 1416 EUR pro Jahr:
Fazit
Dies erklärt meiner Meinung nach auch, warum ich mich extra bei CNN anmelden musste, um überhaupt mal eine BIMI Mail zu Gesicht zu bekommen. Ich glaube ja, dass sich so nicht wirklich was an der Verbreitung von BIMI ändern wird. Über 100 EUR pro Monat, für ein kleines Logo, welches bei Ansicht der Mail bei manchen Mail Anbietern angezeigt wird? So wird es sich wahrscheinlich nicht groß verbreiten.