Czym jest BIMI?
BIMI (ang. Brand Indicators for Message Identification) to nowy standard zabezpieczeń, który umożliwia wyświetlanie zweryfikowanego logo nadawcy w tych wiadomościach mailowych, które przeszły poprawną walidację uwierzytelnienia DMARC, potwierdzając tym samym, że domena from nie padła ofiarą próby podszycia.
W czym pomaga BIMI?
BIMI zwiększa widoczność wiadomości pochodzących od danej marki w skrzynkach mailowych tych providerów, którzy obecnie uczestniczą w programie. Pierwsze badania wskazują na wzrost ilości otwarć (OR) i współczynnika konwersji. Możliwość wyświetlania logo zachęca nadawców do przyjęcia silniejszej polityki DMARC w zakresie uwierzytelnienia poczty elektronicznej.
Jak działa BIMI?
BIMI pozwala na opublikowanie w DNS domeny rekordu zawierającego adres URL zamieszczonego na serwerze logo oraz (w przypadku konieczności udowodnienia do niego praw – czego wymaga np. Google) – ścieżki do certyfikatu VMC. Podczas dostarczania wiadomości mailowej, serwer odbiorczy weryfikuje SPF, DKIM i politykę DMARC domeny nadawczej oraz sprawdza obecność rekordu BIMI – jeżeli rekord istnieje, a weryfikacja DMARC będzie poprawna, dostawca skrzynki pocztowej może użyć logo marki do wyświetlania nadawcy wiadomości.
Ile czasu zajmuje wdrożenie certyfikatu?
Wdrożenie certyfikatu BIMI to ok. 6-7 tygodni.
Jakie kroki należy podjąć w celu wdrożenia BIMI?
- Uwierzytelnienie wiadomości za pomocą SPF i DKIM
- Zabezpieczenie domeny za pomocą restrykcyjnego DMARC (polityka quarantine lub reject)
- Stworzenie logo w formacie SVG Tiny PS
- Jeśli jest to wymagane (np. w przypadku Gmail), uzyskanie Certyfikatu Zweryfikowanego Znaku (VMC)
- Opublikowanie rekordu BIMI w DNS domeny
Którzy providerzy wspierają BIMI?
- Apple Mail
- Onet
- Verizon Media Group (Yahoo, AOL etc.)
- Gmail
- Fastmail
- Zone
Bieżąca lista providerów wspierających BIMI jest dostępna na stronie AuthIndicators Working Group.
Gdzie należy dodać rekord BIMI?
Rekord BIMI należy opublikować w DNS domeny, której dotyczy. Podobnie jak DMARC – obejmuje on wszystkie subdomeny. Istnieje również możliwość opublikowania osobnego rekordu w DNS subdomeny (zawierającego np. inne logo).
Czym Jest SPF?
SPF (ang. Sender Policy Framework) jest zabezpieczeniem używanym do uwierzytelniania nadawcy wiadomości e-mail. Dzięki niemu providerzy mogą zweryfikować, czy serwer pocztowy jest upoważniony do wysyłania wiadomości e-mail w imieniu danej domeny.
Więcej informacji, znajduje się w artykule na naszym artykule : “Jak skonfigurować rekord SPF.”
Czym jest DKIM?
DKIM (ang. DomainKeys Identified Mail) to cyfrowy klucz używany do sprawdzania, czy wiadomości e-mail są autentyczne i nie padły próbie phishingu podczas przesyłania.
Dowiedz się jak zautoryzować domenę kluczem DKIM dzięki temu artykułowi na naszym blogu.
Czym jest DMARC?
DMARC (ang. Domain-based Message Authentication, Reporting and Conformance) jest metodą uwierzytelniania e-mail opierającą się na SPF i DKIM. Sprawdza on powyższe protokoły i wskazuje dostawcom skrzynek pocztowych jakie działania mają podjąć wobec wiadomości, które nie przejdą uwierzytelnienia, dając właścicielom domen kontrolę nad ich wykorzystywaniem i zapobieganiu spoofingu.
Po co komu DMARC i jako go włączyć?
Przy jakiej polityce DMARC można wdrożyć BIMI?
Do implementacji BIMI niezbędna jest restrykcyjna polityka DMARC: „p=quarantine” (pct=100) lub „p=reject”.
Czy logo musi być zarejestrowanym znakiem towarowym?
Tak, zgodne ze specyfikacją BIMI, logo musi być zarejestrowanym znakiem towarowym, w związku z czym należy je wcześniej zastrzec w urzędzie patentowym: dla Unii Europejskiej – EUIPO, z kolei odpowiednią instytucją w przypadku USA będzie USPTO.
Pełna lista urzędów dostępna jest tutaj.
Jakie są zalecenia jeśli chodzi o przygotowane logo?
Logo BIMI powinno być:
- na jednolitym tle – zalecane są tła nieprzezroczyste,
- wyśrodkowane, w proporcji 1:1 – aby było optymalnie wyświetlane w kwadracie, zaokrąglonym kwadracie lub okręgu,
Logo BIMI nie może być animowane ani interaktywne.
Czy dopuszczalny jest logotyp (znak słowny)?
Tak, dopuszczalna jest grafika uwzględniająca wyłącznie wersję tekstową (nazwę marki / instytucji) bez symbolu (logo) czy znaków graficznych.
Jaki jest jego format?
Logo, do którego odwołuje się rekord BIMI, musi być w określonym formacie, opartym na SVG (Scalable Vector Graphic) Tiny 1.2 ale z mniejszą liczbą dozwolonych elementów. Wersja obsługiwana przez BIMI została określona jako SVG Tiny Portable/Secure (SVG P/S).
Szczegółowe wytyczne dotyczące jego przygotowania dostępne są na stronie AuthIndicators Working Group.
Gdzie należy wgrać logo?
Logo należy zamieścić na dowolnej publicznej domenie (nie musi być to ta sama domena która podlega wdrożeniu tego standardu). W przygotowanym rekordzie BIMI do jego lokalizacji (adresu URL) odnosi się tag „l=”.
Czym jest VMC?
VMC (ang. Verified Mark Certificate) to nowy typ certyfikatu cyfrowego, który potwierdza autentyczność logo powiązanego z domeną nadawcy wiadomości e-mail.
Czy certyfikat VMC jest niezbędny?
Specyfikacja techniczna wskazuje, że VMC jest opcjonalne, jednak można się spodziewać, że większość liczących się providerów pocztowych będzie go wymagać – już teraz należy do nich np. Gmail.
Nawet jeśli dostawcy tacy jak Yahoo Mail i AOL nie wymagają obecnie VMC, mogą oni używać tego certyfikatu do określenia, czy nadawca jest wiarygodny.
Jakie należy spełnić wymagania aby uzyskać VMC?
- Posiadać logo będące zarejestrowanym znakiem
- DMARC ustawiony w polityce quarantine na 100% lub reject
Kroki do uzyskania VMC
- weryfikacja organizacji oraz domeny: sprawdzenie praw do używania domeny
- bezpośrednia rozmowa reprezentanta firmy z przedstawicielem organizacji certyfikującej np. DigiCert
- sprawdzenie poprawności uwierzytelnienia DMARC
- potwierdzenie certyfikacji u notariusza
- przekazanie certyfikatu w formacie .PEM w celu jego opublikowania w rekordzie BIMI
Gdzie można uzyskać certyfikat VMC?
Na chwilę obecną jedynymi organizacjami upoważnionymi do wystawiania certyfikatów VMC są DigiCert i Entrust DataCard oraz ich partnerzy. Z komunikatu przekazanego przez zespół BIMI wiemy, że lista instytucji wydających VMC będzie się z czasem stopniowo poszerzać. EmailLabs w ramach usługi związanej z wdrożeniem BIMI podpowiada, który notariusz w danym regionie oferuje pomoc prawną w zakresie VMC.
Jaki jest koszt certyfikatu VMC?
Koszt uzyskania certyfikatu VMC to 9450 zł netto* rocznie za każdą parę: jedna domena i jedna wersja logo. SAN – druga i każda kolejna domena to 2000 zł netto rocznie.
Dzięki współpracy EmailLabs z Domeny.pl, jedynym dystrybutorem certyfikatów VMC w Polsce, można go uzyskać na bardzo preferencyjnych warunkach.
*Cena może ulec zmianie.
Jak długo ważny jest certyfikat?
Ważność certyfikatu VMC wynosi rok, po tym czasie należy go odnowić.
Gdzie należy zamieścić certyfikat?
Po zatwierdzeniu Twojego VMC przez urząd certyfikujący otrzymasz plik w formacie .PEM (ang. Privacy Enhanced Mail). Plik należy przesłać na swój publiczny serwer. Adres URL (ścieżkę do pliku) należy umieścić w rekordzie TXT BIMI.
Czy logo zawsze się wyświetla?
Aby logo się wyświetlało, nadawca musi być masowy (bulk) i korzystać z ogólnego, generycznego adresu np. [email protected], [email protected]). Logo nie będzie wyświetlane w przypadku adresów osobistych ([email protected]).
Dodatkowo ważna jest dobra reputacja nadawcy. Należy pamiętać że ostateczną decyzję o wyświetlaniu logo podejmuje dostawca skrzynki mailowej.
Czym różni się BIMI u Yahoo?
Zgodnie z informacjami zamieszczonymi na stronie Verizon Media (Yahoo) logo BIMI wyświetli się na skrzynce jeśli zostaną spełnione poniższe warunki :
- W DNS zamieszczony został rekord BIMI, który wskazuje na lokalizację logo w poprawnym formacie SVG
- DMARC ma politykę quarantine lub reject
- Mailing jest wysyłany do dużej liczby odbiorców (bulk). Logo nie będzie wyświetlane w korespondencji osobistej
- Verizon Media odnotowuje wystarczająco dobrą reputacją oraz zaangażowanie ze strony odbiorców
W przypadku gdy zostaną spełnione wymagania ale logo nadal się nie wyświetla, należy zapoznać się z dokumentacją Yahoo dla developerów.
Jakie są dostępne alternatywy dla BIMI?
Istnieje kilka alternatywnych sposobów na wyświetlania znaku graficznego: rodzimy Boost od Interii, logo w Google Workspace (dawniej G Suite), Avatar w narzędziu Postmaster Mail.ru, Bing dla Microsoft. Należy jednak pamiętać, że tak wgrane logo może być niepotwierdzone i nie świadczy o prawidłowym zabezpieczeniu domeny przy pomocy DMARC.
Aby dowiedzieć się więcej o weryfikacji BIMI i procesie uzyskiwania certyfikatu VMC skontaktuj się z EmailLabs – nasi eksperci udzielą Ci wszelkich dodatkowych informacji.