BIMI, czyli nowy standard oferowany przez Apple Mail, Google Verizon Media Group (Yahoo, AOL), Netscape czy Fastmail, umożliwia skrzynkom pocztowym wyświetlanie logotypów. W efekcie zapewnia bezpieczne uwierzytelnienie wiadomości e-mail, a także pomaga osiągnąć lepszą identyfikację marki. Na całym świecie trwają pilotażowe wdrożenia BIMI, dlatego postanowiliśmy zapytać Marcina Kujawskiego, Dyrektora IT w EmailLabs, by wyjaśnił 6 podstawowych kwestii dotyczących implementacji nowego uwierzytelnienia.
1. Czym jest BIMI?
MK: BIMI jest to nowy standard bezpieczeństwa opracowany przez stowarzyszenie BIMI Group, który ma na celu zwiększenie bezpieczeństwa komunikacji e-mail, a w zasadzie rozszerzenie już istniejących standardów o identyfikację wizualną. W tym kontekście warto wspomnieć o narzędziu jakim jest MailChecker.net, który pozwala na sprawdzenie, jak nasza wiadomość będzie wyglądała u providerów, dodatkowo oferując możliwość przetestowania naszej gotowości do wdrożenia BIMI. EmailLabs jest partnerem technologicznym narzędzia MailChecker.net
2. Dlaczego firmy powinny jak najszybciej wdrożyć standard BIMI?
MK: W pierwszej kolejności warto podkreślić, że tacy providerzy jak Gmail czy Yahoo już zdecydowali się na implementację tego standardu. Co prawda jest on dopiero w fazie testowej, dlatego nie mamy jeszcze pewności, jaki wpływ BIMI będzie miało na dostarczalność e-maili. Biorąc jednak pod uwagę specyfikację techniczną, z pewnością będzie to jeden z kluczowych elementów w filtrach antyspamowych stosowanych przez największych providerów. Kolejnym argumentem przemawiającym za wdrożeniem BIMI jest fakt, że dzięki niemu odbiorcom łatwiej rozpoznać e-maile od zaufanych nadawców, co naturalnie zwiększa CTR (współczynnik klikalności) oraz OR (współczynnik otwarć) naszych wiadomości.
3. Jakie warunki należy spełnić, aby wdrożyć BIMI?
MK: Pierwszym i chyba najważniejszym wymaganiem będzie protokół bezpieczeństwa DMARC, jednak polityka, jaką musimy ustawić, to „reject” lub „quarantine” na poziomie 100% odrzucanych maili w przypadku błędu DMARC. Co więcej, w systemie DNS musi znajdować się odpowiedni wpis, który wskazuje, z jakiej lokalizacji ma zostać pobrane logo nadawcy (oraz certyfikat). Dodatkowo można stosować różne logotypy np. dla oddzielnych departamentów naszej organizacji.
4. Czy certyfikat VMC jest niezbędny?
MK: Specyfikacja opublikowana przez BIMI Group mówi, że VMC (certyfikat odpowiedzialny za potwierdzanie autentyczności logo zawartego w wiadomości) nie jest wymagany, jednak można się spodziewać, że większość liczących się serwisów pocztowych będzie wymagać tego certyfikatu dla potwierdzenia tożsamości, zwłaszcza że jego otrzymanie wiąże się z wieloetapową weryfikacją wnioskodawcy – w trakcie procesu sprawdzane będzie m.in., czy logo, którym przyszły nadawca chce się posługiwać, jest jego własnością intelektualną (np. zarejestrowanym znakiem towarowym).
5. Na jakim etapie wdrożenia są polskie/globalne firmy?
MK: Pierwsi nadawcy mogą już korzystać z BIMI w ramach zamkniętego programu partnerskiego oferowanego przez Gmail oraz Yahoo. Warto tutaj jednocześnie przypomnieć, że jedną z pierwszych marek, której logotyp wyświetlał się przy mailu, było CNN. Godne pochwały jest także tempo wdrażania nowych zabezpieczeń przez naszych czeskich sąsiadów – seznam.cz jest mocno zainteresowany wdrożeniem zabezpieczenia dla skrzynek swoich użytkowników. W Polsce natomiast wszystko wskazuje na to, że jeszcze trochę poczekamy, co nie oznacza, że nasi lokalni providerzy nie są przygotowani na taką ewentualność. Z niedawnych rozmów z jednym z największych polskich operatorów wynika, że jest on zainteresowany implementacją BIMI.
6. Jak popularyzacja BIMI może wpłynąć na poziom bezpieczeństwa poczty?
MK: Pewne jest to, że poprawna implementacja BIMI u operatorów bardzo pozytywnie wpłynie na poprawę bezpieczeństwa wiadomości e-mail. Warto tutaj zwrócić uwagę na fakt, że protokół DMARC, który powstał ze względu na łatwość obejścia poprzednich zabezpieczeń takich jak SPF i DKIM, teoretycznie nie da się złamać w przypadku ataku przeprowadzonego z użyciem naszej domeny. Jeżeli jednak atakujący zdecyduje się skorzystać z innej domeny, phishing (czyli metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję) będzie zdecydowanie trudniejszy do wykrycia, a sam DMARC nie zadziała. I tu do głosu dochodzi protokół BIMI, który dzięki temu, że wyświetla logo, może okazać się „zabójcą phishingu”. Jeśli więc użytkownik w wiadomości zobaczy logo np. swojego banku, które będzie podpisane certyfikatem dającym gwarancję, że jest to symbol danej organizacji, będzie miał pewność, że komunikat pochodzi od zaufanego nadawcy, a nie osoby podszywającej się pod daną instytucję.
Jesteś zainteresowany wdrożeniem BIMI bądź potrzebujesz konsulatacji dotyczących zwiększenia bezpieczeństwa Twoich e-maili? Skontaktuj się z EmailLabs, a nasi specjaliści udzielą wszelkich niezbędnych informacji. Zachęcamy także do zapoznana się z naszą pierwszą publikacją “Standard BIMI: Zwiększenie bezpieczeństwa komunikacji e-mail“, która szeroko opisuje nowy standard oraz korzyści związane z jego implementacją.
Dobre praktyki, Gmail, Uwierzytelnienia e-mail
Gmail zapowiada, że od 1 lutego 2024 wysyłający wiadomości email do swoich klientów będą musieli liczyć się ze sporymi zmianami w zakresie wymagań, jakie należy spełniać, aby cieszyć się...
GDPR, Zgodność i bezpieczeństwo
Spółka Vercom S.A., która prowadzi projekt EmailLabs, z sukcesem przeszła kolejną certyfikację na normę ISO/IEC 27001 oraz ISO 27018. Wdrożony w Vercom S.A. System Zarządzania Bezpieczeństwa Informacji 0bejmuje tworzenie,...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Dobre praktyki, Dostarczalność email
E-commerce rośnie w astronomicznym tempie, a wraz z nim kanał, który charakteryzuje się najwyższym czynnikiem konwersji w tej branży – E-mail. Wg raportu Statista z 2017 roku, globalny handel...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Dobre praktyki, Reputacja Nadawcy
Twoje kampanie e-mail nie przynoszą oczekiwanych rezultatów? Niskie współczynniki otwarć i wysokie współczynniki odrzuceń mogą być frustrujące, ale możesz odwrócić tę sytuację przez poprawę reputacji nadawcy. Ale zanim to,...
Gmail, Uwierzytelnienia e-mail
W celu zwiększenia bezpieczeństwa poczty elektronicznej i ochrony użytkowników przed złośliwymi wiadomościami, Google i Yahoo zamierzają wdrożyć surowe wymagania dotyczące uwierzytelniania e-maili od 2024 roku. E-mail marketing stał się...