BIMI-Pilotprojekt

BIMI steht für Brand Indicators for Message Identification (BIMI) und ist ein E-Mail-Authentifizierungsstandard, mit dem Sie beim Senden einer ordnungsgemäß authentifizierten E-Mail ein verifiziertes Firmenlogo in den Posteingängen Ihrer Empfänger anzeigen können. Diese können dann darauf vertrauen, dass es sich um eine tatsächliche E-Mail von Ihnen und nicht um einen gefährlichen Phishing-Versuch handelt. BIMI garantiert keine hundertprozentige Zustellbarkeit, aber kann Ihnen dabei helfen, mehr Markenbekanntheit und Vertrauen, eine höhere Sender Reputation und letztendlich bessere E-Mail-KPIs Steht für „Key-Performance-Indikator“ (auch Konversionsziel genannt); die Kennzahl von Aktionen auf Webseiten. Bei den Aktionen kann es sich um abgeschlossene Einkäufe, besuchte Seiten, Verweildauer auf der Webseite usw. handeln. zu erreichen.

Stand der Entwicklung

Der BIMI-Standard ist relativ neu und bei vielen Internet Service Providern (ISPs) noch in der Pilotphase. Die Verbreitung und Weiterentwicklung wird von der AuthIndicators Working Group vorangetrieben, die unter Bimigroup.org weitere Informationen zum aktuellen Stand bietet.

Stand der Umsetzung im Oktober 2020:

Bild: BIMI-Umsetzung

Eine vollständige Implementierung ist bereits mit den Mobile- und Web-Clients von Yahoo und AOL sowie Google möglich. Um mit BIMI authentifizierte E-Mails an Yahoo und AOL zu senden, siehe BIMI implementieren.

Funktionsweise und Voraussetzungen

Um BIMI einzurichten, müssen die grundlegenden E-Mail-Authentifizierungsstandards vorhanden sein, einschließlich Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-Based Message Authentication Reporting and Conformance (DMARC). Siehe E-Mail-Authentifizierung und -Verschlüsselung.

Der BIMI-Standard erwartet zudem ein DMARC-Setup auf der organisatorischen Domain. Viele ISPs Steht für „Internet Service Provider“ (Internet-Dienstanbieter), die BIMI anbieten oder in Zukunft eine BIMI-Unterstützung in Betracht ziehen, empfehlen Absendern, sich bereits jetzt vorzubereiten und DMARC zu implementieren. Siehe DMARC-Implementierung.

Die BIMI-Einrichtung selbst erfolgt durch Anlegen eines BIMI-Text-Records auf der Domain, die zukünftig mit dem Firmenlogo authentifiziert werden soll. Dieser Record enthält einen Hinweis auf das Firmenlogo und eventuell ein sogenanntes Verified Mark Certificate (VMC), das das Logo offiziell validiert. Das Logo selbst muss als skalierbare Vektorgrafik (SVG Tiny 1.2 Portable/Secure) mit weiteren spezifischen Formatvorgaben angeliefert werden. VMCs sind für die Nutzung von BIMI bei Google erforderlich und können derzeit bei Entrust oder Digicert erworben werden. Bei Yahoo und AOL werden sie derzeit nicht benötigt.

Beim Versuch, eine E-Mail zuzustellen, überprüfen die teilnehmenden ISPs dann einerseits das DMARC-Setup und andererseits das BIMI-Setup. Wenn beide Prüfungen erfolgreich sind, ziehen die ISPs das Logo aus der URL im BIMI-Datensatz, um dieses dann im Posteingang neben Ihrer E-Mail anzuzeigen. ISPs geben an, dass hierfür eine gute Sender Reputation unerlässlich ist.

Technische Spezifikationen

BIMI-Record

Um BIMI zu nutzen, muss für Ihre Sender Domain, die am Ende von der Darstellung Ihres Logos profitieren soll, ein BIMI-Record erstellt werden. Dies kann eine Subdomain oder eine organisatorische Domain sein.

Beispiel-BIMI-Record:

  • Beispieldomain. example.com
  • BIMI-Domain. default._bimi.example.com
  • Record-Typ. TXT
  • BIMI-Record. v=BIMI1; l=https://www.example.com/logo.svg;

Verfügbare BIMI-Tags

Die folgende Tabelle gibt einen Überblick über die möglichen BIMI-Tags und die Möglichkeiten der Umsetzung.

Tag Definition Umsetzung
v Version Der v-Tag ist erforderlich und muss mit v=BIMI1 gesetzt werden.
l Location Der l- Tag ist erforderlich und gibt die Position des Logos an, das Sie anzeigen möchten. Der l- Tag wird als URL mit HTTPS angegeben - HTTP funktioniert nicht.
a Trust Authorities Der a- Tag ist für das BIMI-Setup mit Google erforderlich und wird verwendet, um die Domain-Inhaberschaft mit einem Verified Mark Certificate (VMC) zu validieren. Die akzeptierten Werte sind:

  • self. Keine Validierungsoption, ähnlich wie wenn kein a-Tag vorhanden ist.

  • cert. Stellt eine HTTPS-URL für ein VMC bereit, das zur Validierung des Logos im l-Tag verwendet werden kann.

  • mva. Gibt eine HTTPS-URL zu einem API-Endpunkt an, die zur Validierung abgefragt werden kann.

Bildanforderungen

Der BIMI-Standard verlangt die Erstellung eines Logos im Bildformat SVG Tiny 1.2 Portable/Secure, kurz SVG P/S.

Das SVG P/S-Format ist strenger als SVG Tiny 1.2 und erfordert, dass das Bild ein zentriertes, quadratisches Bild Ihres offiziellen Firmenlogos ohne zusätzlichen Text auf einem einfarbigen Hintergrund ist. Außerdem sollte das Bild so klein wie möglich sein und 32 KB nicht überschreiten. Weitere Ressourcen wie externe Links, Skripte oder interaktive Elemente dürfen nicht eingebunden werden. Eine vollständige Liste der erforderlichen Elemente finden Sie auf Bimigroup.org.

BIMI-Selector

Die BIMI-Domain default._bimi.example.com beginnt in diesem Beispiel mit dem BIMI-Selektor. Er dient dem Mailbox-Provider, den zugehörigen BIMI-Record und das Logo zu identifizieren und aufzurufen. Der Standard-Selektorname lautet default und ist der Einzige, der derzeit von den unterstützenden ISPs, insbesondere Yahoo & AOL, akzeptiert wird.

Theoretisch besteht auch die Möglichkeit, mit mehreren Selektoren zu arbeiten, wenn Sie BIMI für mehrere Marken mit derselben Sender Domain ausrollen möchten. Allerdings würden unterschiedliche Selektoren auch eine technische Anpassung der E-Mail selbst notwendig machen. Da sich diese Option noch in der Entwicklung befindet und derzeit ohnehin nicht unterstützt wird, sollten Sie zur Markendifferenzierung mit unterschiedlichen Sender Domains und damit getrennten BIMI-Records arbeiten.

BIMI implementieren

Um BIMI zu implementieren, gehen Sie wie folgt vor:

  1. E-Mails authentifizieren
  2. SVG-Logo erstellen
  3. VMC erwerben
  4. BIMI-Record einrichten
  5. Ergebnisse analysieren

E-Mails authentifizieren

BIMI erfordert die Authentifizierung Ihrer E-Mails mit SPF, DKIM und DMARC. Wenn Sie sich nicht sicher sind, senden Sie eine Test-E-Mail und prüfen Sie im E-Mail-Header, ob die Authentifizierungsvoraussetzungen erfüllt sind oder wenden Sie sich an Ihren IT-Administrator. Weitere Informationen zum erforderlichen DNS-Setup finden Sie unter Setting up your domain auf Optimizely World. Details zur Implementierung von DMARC finden Sie unter DMARC-Implementierung.

Der BIMI-Standard erfordert DMARC auf der organisatorischen Domain mit einer Policy, die entweder auf p=quarantine oder p=reject gesetzt ist. Optimizely empfiehlt dringend die Policy p=reject.

Darüber hinaus sind Parameter, die die DMARC-Anwendung schwächen, wie sp=none oder ein Prozentsatz unter 100 pct<100 nicht zulässig.

Die BIMI-Implementierung kann derzeit mit den Web- und Mobile-Clients von Yahoo, AOL sowie Gmail umgesetzt werden. Für Yahoo und AOL ist der DMARC-Eintrag auf der Sender Domain derzeit ausreichend, auch wenn es sich nur um eine Subdomain handelt. Gmail verlangt, wie auch allgemein für den BIMI-Standard definiert, einen DMARC-Record auf der organisatorischen Domain. Damit Sie bei zukünftigen Entwicklungen auf der sicheren Seite sind, sollten Sie DMARC direkt auf der organisatorischen Domain implementieren.

SVG-Logo erstellen

Um BIMI zu implementieren, müssen Sie ein Firmenlogo als skalierbare Vektorgrafik erstellen. Die von BIMI unterstützte Version lautet SVG Tiny 1.2 Portable/Secure (SVG P/S). Das SVG BIMI-Logo

  • muss quadratisch und zentriert sein,
  • sollte nur Ihr Logo ohne Text beinhalten und der Hintergrund einfarbig sein,
  • sollte so klein wie möglich sein und 32 KB nicht überschreiten,
  • darf keine externen Links, Skripte, Animationen oder andere interaktive Elemente beinhalten.

Speichern Sie das SVG-Bild in HTTPS, damit es Ihrem BIMI-Datensatz hinzugefügt werden kann.

Auf Bimigroup.org finden Sie weitere Informationen zum Erstellen von SVG-BIMI-Logos und SVG-Conversion Tools.

VMC erwerben

Der BIMI-Standard sieht im Allgemeinen die Validierung des BIMI-Logos durch eine Zertifizierungsstelle vor, damit dessen Authentizität auch garantiert werden kann. Mittels Verified Mark Certificate (VMC) zertifizieren diese den Eigentümer und machen den Nachweis über die Zertifizierung im DNS der Sender Domain zugänglich.

Aktuell ist ein VMC nur für Nutzung von BIMI bei Google erforderlich, Yahoo und AOL verlangen derzeit kein Zertifikat. Bisher stehen Ihnen folgende Zertifizierungsstellen zur Verfügung:

Die BIMI Working Group erwartet, dass der Erwerb von VMCs zukünftig auch bei weiteren Partnern möglich sein wird.

BIMI-Record einrichten

Für Ihre Sender Domain, welche mit Ihrem Firmenlogo authentifiziert werden soll, muss nun ein TXT-Record mit dem Präfix default._bimi erstellt werden. Der von Optimizely empfohlene Eintrag lautet wie folgt:

  • Beispieldomain. example.com
  • BIMI-Domain. default._bimi.example.com
  • Record-Typ. TXT
  • BIMI-Record. v=BIMI1; l=https://www.example.com/logo.svg; a=https://www.example.com/vmc/logo.pem;

Ersetzen Sie example.com durch Ihre Sender Domain und l=https//www.example.com/logo.svg durch die Bild-URL Ihres SVG-Bildes. Beachten Sie, dass die URL auf HTTPS basieren muss.

Möchten Sie kein Zertifikat verwenden und BIMI nur mit AOL und Yahoo umsetzen, können Sie auf den a-Tag a=https://www.example.com/vmc/logo.pem; verzichten.

Ergebnisse analysieren

Es gibt Tools, mit denen Sie Ihren BIMI-Datensatz erstellen und/oder nachträglich verifizieren können. Eines davon ist der von Bimigroup.org zur Verfügung gestellte BIMI Inspector.

Nach erfolgreicher Implementierung des BIMI-Records sollte Ihr SVG-Logo nun in den teilnehmenden E-Mail-Clients angezeigt werden. Überprüfen Sie im Laufe der Zeit, ob die Implementierung Phishing-Versuche reduziert und Ihre E-Mail-KPIs verbessert hat.