BIMI: ekspert EmailLabs odpowiada na 6 kluczowych pytań

BIMI, czyli nowy standard oferowany przez Apple Mail, Google Verizon Media Group (Yahoo, AOL), Netscape czy Fastmail, umożliwia skrzynkom pocztowym wyświetlanie logotypów. W efekcie zapewnia bezpieczne uwierzytelnienie wiadomości e-mail, a także pomaga osiągnąć lepszą identyfikację marki. Na całym świecie trwają pilotażowe wdrożenia BIMI, dlatego postanowiliśmy zapytać Marcina Kujawskiego, Dyrektora IT w EmailLabs, by wyjaśnił 6 podstawowych kwestii dotyczących implementacji nowego uwierzytelnienia.

1. Czym jest BIMI?

MK: BIMI jest to nowy standard bezpieczeństwa opracowany przez stowarzyszenie BIMI Group, który ma na celu zwiększenie bezpieczeństwa komunikacji e-mail, a w zasadzie rozszerzenie już istniejących standardów o identyfikację wizualną. W tym kontekście warto wspomnieć o narzędziu jakim jest MailChecker.net, który pozwala na sprawdzenie, jak nasza wiadomość będzie wyglądała u providerów, dodatkowo oferując możliwość przetestowania naszej gotowości do wdrożenia BIMI. EmailLabs jest partnerem technologicznym narzędzia MailChecker.net

2. Dlaczego firmy powinny jak najszybciej wdrożyć standard BIMI?

MK: W pierwszej kolejności warto podkreślić, że tacy providerzy jak Gmail czy Yahoo już zdecydowali się na implementację tego standardu. Co prawda jest on dopiero w fazie testowej, dlatego nie mamy jeszcze pewności, jaki wpływ BIMI będzie miało na dostarczalność e-maili. Biorąc jednak pod uwagę specyfikację techniczną, z pewnością będzie to jeden z kluczowych elementów w filtrach antyspamowych stosowanych przez największych providerów. Kolejnym argumentem przemawiającym za wdrożeniem BIMI jest fakt, że dzięki niemu odbiorcom łatwiej rozpoznać e-maile od zaufanych nadawców, co naturalnie zwiększa CTR (współczynnik klikalności) oraz OR (współczynnik otwarć) naszych wiadomości.

3. Jakie warunki należy spełnić, aby wdrożyć BIMI?

MK: Pierwszym i chyba najważniejszym wymaganiem będzie protokół bezpieczeństwa DMARC, jednak polityka, jaką musimy ustawić, to „reject” lub „quarantine” na poziomie 100% odrzucanych maili w przypadku błędu DMARC. Co więcej, w systemie DNS musi znajdować się odpowiedni wpis, który wskazuje, z jakiej lokalizacji ma zostać pobrane logo nadawcy (oraz certyfikat). Dodatkowo można stosować różne logotypy np. dla oddzielnych departamentów naszej organizacji.

4. Czy certyfikat VMC jest niezbędny?

MK: Specyfikacja opublikowana przez BIMI Group mówi, że VMC (certyfikat odpowiedzialny za potwierdzanie autentyczności logo zawartego w wiadomości) nie jest wymagany, jednak można się spodziewać, że większość liczących się serwisów pocztowych będzie wymagać tego certyfikatu dla potwierdzenia tożsamości, zwłaszcza że jego otrzymanie wiąże się z wieloetapową weryfikacją wnioskodawcy – w trakcie procesu sprawdzane będzie m.in., czy logo, którym przyszły nadawca chce się posługiwać, jest jego własnością intelektualną (np. zarejestrowanym znakiem towarowym).

5. Na jakim etapie wdrożenia są polskie/globalne firmy?

MK: Pierwsi nadawcy mogą już korzystać z BIMI w ramach zamkniętego programu partnerskiego oferowanego przez Gmail oraz Yahoo. Warto tutaj jednocześnie przypomnieć, że jedną z pierwszych marek, której logotyp wyświetlał się przy mailu, było CNN. Godne pochwały jest także tempo wdrażania nowych zabezpieczeń przez naszych czeskich sąsiadów – seznam.cz jest mocno zainteresowany wdrożeniem zabezpieczenia dla skrzynek swoich użytkowników. W Polsce natomiast wszystko wskazuje na to, że jeszcze trochę poczekamy, co nie oznacza, że nasi lokalni providerzy nie są przygotowani na taką ewentualność. Z niedawnych rozmów z jednym z największych polskich operatorów wynika, że jest on zainteresowany implementacją BIMI.

6. Jak popularyzacja BIMI może wpłynąć na poziom bezpieczeństwa poczty?

MK: Pewne jest to, że poprawna implementacja BIMI u operatorów bardzo pozytywnie wpłynie na poprawę bezpieczeństwa wiadomości e-mail. Warto tutaj zwrócić uwagę na fakt, że protokół DMARC, który powstał ze względu na łatwość obejścia poprzednich zabezpieczeń takich jak SPF i DKIM, teoretycznie nie da się złamać w przypadku ataku przeprowadzonego z użyciem naszej domeny. Jeżeli jednak atakujący zdecyduje się skorzystać z innej domeny, phishing (czyli metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję) będzie zdecydowanie trudniejszy do wykrycia, a sam DMARC nie zadziała. I tu do głosu dochodzi protokół BIMI, który dzięki temu, że wyświetla logo, może okazać się „zabójcą phishingu”. Jeśli więc użytkownik w wiadomości zobaczy logo np. swojego banku, które będzie podpisane certyfikatem dającym gwarancję, że jest to symbol danej organizacji, będzie miał pewność, że komunikat pochodzi od zaufanego nadawcy, a nie osoby podszywającej się pod daną instytucję.

Jesteś zainteresowany wdrożeniem BIMI bądź potrzebujesz konsulatacji dotyczących zwiększenia bezpieczeństwa Twoich e-maili? Skontaktuj się z EmailLabs, a nasi specjaliści udzielą wszelkich niezbędnych informacji. Zachęcamy także do zapoznana się z naszą pierwszą publikacją “Standard BIMI: Zwiększenie bezpieczeństwa komunikacji e-mail“, która szeroko opisuje nowy standard oraz korzyści związane z jego implementacją.