Korzyści z wdrożenia BIMI ochrona przed spoofingiem i phishingiem

BIMI (ang. Brand Indicators for Message Identification) to nowy standard zabezpieczeń, który umożliwia wyświetlanie zweryfikowanego logo nadawcy w tych wiadomościach mailowych, które przeszły poprawną walidację uwierzytelnienia DMARC, potwierdzając tym samym, że domena from nie padła ofiarą próby podszycia.

BIMI zwiększa widoczność wiadomości pochodzących od danej marki w skrzynkach mailowych tych providerów, którzy obecnie uczestniczą w programie. Pierwsze badania wskazują na wzrost ilości otwarć (OR) i współczynnika konwersji. Możliwość wyświetlania logo zachęca nadawców do przyjęcia silniejszej polityki DMARC w zakresie uwierzytelnienia poczty elektronicznej.

BIMI pozwala na opublikowanie w DNS domeny rekordu zawierającego adres URL zamieszczonego na serwerze logo oraz (w przypadku konieczności udowodnienia do niego praw – czego wymaga np. Google) – ścieżki do certyfikatu VMC. Podczas dostarczania wiadomości mailowej, serwer odbiorczy weryfikuje SPF, DKIM i politykę DMARC domeny nadawczej oraz sprawdza obecność rekordu BIMI – jeżeli rekord istnieje, a weryfikacja DMARC będzie poprawna, dostawca skrzynki pocztowej może użyć logo marki do wyświetlania nadawcy wiadomości.

Wdrożenie certyfikatu BIMI to ok. 6-7 tygodni.

• Uwierzytelnienie wiadomości za pomocą SPF i DKIM
• Zabezpieczenie domeny za pomocą restrykcyjnego DMARC (polityka quarantine lub reject)
• Stworzenie logo w formacie SVG Tiny PS
• Jeśli jest to wymagane (np. w przypadku Gmail), uzyskanie Certyfikatu Zweryfikowanego Znaku (VMC)
• Opublikowanie rekordu BIMI w DNS domeny

• Apple Mail
• Verizon Media Group (Yahoo, AOL etc.)
• Gmail
• Fastmail
• Żonę

Bieżąca lista providerów wspierających BIMI jest dostępna na stronie AuthIndicators Working Group.

Rekord BIMI należy opublikować w DNS domeny, której dotyczy. Podobnie jak DMARC – obejmuje on wszystkie subdomeny. Istnieje również możliwość opublikowania osobnego rekordu w DNS subdomeny (zawierającego np. inne logo).

SPF (ang. Sender Policy Framework) jest zabezpieczeniem używanym do uwierzytelniania nadawcy wiadomości e-mail. Dzięki niemu providerzy mogą zweryfikować, czy serwer pocztowy jest upoważniony do wysyłania wiadomości e-mail w imieniu danej domeny.

Więcej informacji, znajduje się w artykule na naszym artykule : „Jak skonfigurować rekord SPF.”

DKIM (ang. DomainKeys Identified Mail) to cyfrowy klucz używany do sprawdzania, czy wiadomości e-mail są autentyczne i nie padły próbie phishingu podczas przesyłania.

Dowiedz się jak zautoryzować domenę kluczem DKIM dzięki temu artykułowi na naszym blogu.

DMARC (ang. Domain-based Message Authentication, Reporting and Conformance) jest metodą uwierzytelniania e-mail opierającą się na SPF i DKIM. Sprawdza on powyższe protokoły i wskazuje dostawcom skrzynek pocztowych jakie działania mają podjąć wobec wiadomości, które nie przejdą uwierzytelnienia, dając właścicielom domen kontrolę nad ich wykorzystywaniem i zapobieganiu spoofingu.

Po co komu DMARC i jako go włączyć?

Do implementacji BIMI niezbędna jest restrykcyjna polityka DMARC: „p=quarantine” (pct=100) lub „p=reject”.

Tak, zgodne ze specyfikacją BIMI, logo musi być zarejestrowanym znakiem towarowym, w związku z czym należy je wcześniej zastrzec w urzędzie patentowym: dla Unii Europejskiej – EUIPO, z kolei odpowiednią instytucją w przypadku USA będzie USPTO.

Pełna lista urzędów dostępna jest tutaj.

Logo BIMI powinno być:

• na jednolitym tle – zalecane są tła nieprzezroczyste,
• wyśrodkowane, w proporcji 1:1 – aby było optymalnie wyświetlane w kwadracie, zaokrąglonym kwadracie lub okręgu, 

Logo BIMI nie może być animowane ani interaktywne.

Tak, dopuszczalna jest grafika uwzględniająca wyłącznie wersję tekstową (nazwę marki / instytucji) bez symbolu (logo) czy znaków graficznych.

Logo, do którego odwołuje się rekord BIMI, musi być w określonym formacie, opartym na SVG (Scalable Vector Graphic) Tiny 1.2 ale z mniejszą liczbą dozwolonych elementów. Wersja obsługiwana przez BIMI została określona jako SVG Tiny Portable/Secure (SVG P/S).
Szczegółowe wytyczne dotyczące jego przygotowania dostępne są na stronie AuthIndicators Working Group.

Logo należy zamieścić na dowolnej publicznej domenie (nie musi być to ta sama domena która podlega wdrożeniu tego standardu). W przygotowanym rekordzie BIMI do jego lokalizacji (adresu URL) odnosi się tag „l=”.

VMC (ang. Verified Mark Certificate) to nowy typ certyfikatu cyfrowego, który potwierdza autentyczność logo powiązanego z domeną nadawcy wiadomości e-mail.

Specyfikacja techniczna wskazuje, że VMC jest opcjonalne, jednak można się spodziewać, że większość liczących się providerów pocztowych będzie go wymagać – już teraz należy do nich np. Gmail.
Nawet jeśli dostawcy tacy jak Yahoo Mail i AOL nie wymagają obecnie VMC, mogą oni używać tego certyfikatu do określenia, czy nadawca jest wiarygodny.

• Posiadać logo będące zarejestrowanym znakiem
• DMARC ustawiony w polityce quarantine na 100% lub reject

• weryfikacja organizacji oraz domeny: sprawdzenie praw do używania domeny
• bezpośrednia rozmowa reprezentanta firmy z przedstawicielem organizacji certyfikującej np. DigiCert
• sprawdzenie poprawności uwierzytelnienia DMARC
• potwierdzenie certyfikacji u notariusza
• przekazanie certyfikatu w formacie .PEM w celu jego opublikowania w rekordzie BIMI

Na chwilę obecną jedynymi organizacjami upoważnionymi do wystawiania certyfikatów VMC są DigiCert i Entrust DataCard oraz ich partnerzy. Z komunikatu przekazanego przez zespół BIMI wiemy, że lista instytucji wydających VMC będzie się z czasem stopniowo poszerzać. EmailLabs w ramach usługi związanej z wdrożeniem BIMI podpowiada, który notariusz w danym regionie oferuje pomoc prawną w zakresie VMC.

Koszt uzyskania certyfikatu VMC to 6499 zł netto rocznie za każdą parę: jedna domena i jedna wersja logo. Dzięki współpracy EmailLabs z Domeny.pl, jedynym dystrybutorem certyfikatów VMC w Polsce, można go uzyskać na bardzo preferencyjnych warunkach.

Ważność certyfikatu VMC wynosi rok, po tym czasie należy go odnowić.

Po zatwierdzeniu Twojego VMC przez urząd certyfikujący otrzymasz plik w formacie .PEM (ang. Privacy Enhanced Mail). Plik należy przesłać na swój publiczny serwer. Adres URL (ścieżkę do pliku) należy umieścić w rekordzie TXT BIMI.

Aby logo się wyświetlało, nadawca musi być masowy (bulk) i korzystać z ogólnego, generycznego adresu np. [email protected], [email protected]). Logo nie będzie wyświetlane w przypadku adresów osobistych ([email protected]).

Dodatkowo ważna jest dobra reputacja nadawcy. Należy pamiętać że ostateczną decyzję o wyświetlaniu logo podejmuje dostawca skrzynki mailowej.

Zgodnie z informacjami zamieszczonymi na stronie Verizon Media (Yahoo) logo BIMI wyświetli się na skrzynce jeśli zostaną spełnione poniższe warunki :

• W DNS zamieszczony został rekord BIMI, który wskazuje na lokalizację logo w poprawnym formacie SVG
• DMARC ma politykę quarantine lub reject
• Mailing jest wysyłany do dużej liczby odbiorców (bulk). Logo nie będzie wyświetlane w korespondencji osobistej
• Verizon Media odnotowuje wystarczająco dobrą reputacją oraz zaangażowanie ze strony odbiorców

W przypadku gdy zostaną spełnione wymagania ale logo nadal się nie wyświetla, należy zapoznać się z dokumentacją Yahoo dla developerów.

Istnieje kilka alternatywnych sposobów na wyświetlania znaku graficznego: rodzimy Boost od Interii, logo w Google Workspace (dawniej G Suite), Avatar w narzędziu Postmaster Mail.ru, Bing dla Microsoft. Należy jednak pamiętać, że tak wgrane logo może być niepotwierdzone i nie świadczy o prawidłowym zabezpieczeniu domeny przy pomocy DMARC.

Aby dowiedzieć się więcej o weryfikacji BIMI i procesie uzyskiwania certyfikatu VMC skontaktuj się z EmailLabs  – nasi eksperci udzielą Ci wszelkich dodatkowych informacji.