Bild: Generiert mit Gemini Flash

BIMI und VMC - Markenlogos im Posteingang, ohne den Empfänger zu tracken

7 Min Lesezeit Serie: Infrastruktur-Reihe #mail#dmarc#bimi

Wie BIMI verifizierte Markenlogos in Gmail, Yahoo und Apple Mail bringt, wofür VMC und CMC stehen, welche DMARC-Voraussetzungen gelten und wo die Datenschutzfallen liegen.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Abgelehnte Alternativen
  5. Was Sie jetzt tun sollten
  6. Wie Dernium hier hilft
  7. Offene Punkte
  8. Häufige Fragen
  9. Brauche ich für BIMI zwingend ein kostenpflichtiges Zertifikat?
  10. Was ist der Unterschied zwischen VMC und CMC?
  11. Warum reicht es nicht, einfach ein PNG-Logo zu hinterlegen?
  12. Sehen alle meine Empfänger das Logo?
  13. Verrät BIMI Empfängerdaten wie ein Trackingpixel?

Problem

Der Posteingang ist ein Ort ohne verlässliche visuelle Identität. Wenn eine Mail mit dem Absendernamen "Sparkasse Service" ankommt, entscheidet heute der Empfänger anhand von Schriftbild, Rechtschreibung und Bauchgefühl, ob sie echt ist. Logos, die Clients wie Gmail oder Outlook neben dem Absender einblenden, wurden jahrelang aus zwei Quellen gespeist: dem Avatar im Adressbuch des Empfängers und aus eigenen Datenbanken der Mail-Provider. Beides ist für die Marke nicht steuerbar. Ein Angreifer, der eine Lookalike-Domain (eine täuschend ähnlich geschriebene Domain) registriert oder schlicht den Anzeigenamen fälscht, landet dadurch mit generischem Platzhalter-Icon im Posteingang, optisch kaum unterscheidbar von der echten Bank. Nutzer sind auf diese inkonsistente Darstellung seit Jahren trainiert und klicken trotzdem.

BIMI und die zugehörigen Markenzertifikate sollen diese Lücke schließen, indem die Marke selbst bestimmt, welches Logo sie im Posteingang zeigt, und ein Zertifikat beweist, dass sie dazu berechtigt ist.

Für wen ist das? Für Marketing- und E-Mail-Verantwortliche, die ihr Markenlogo im Posteingang zeigen wollen.

Kurze Antwort

BIMI (Brand Indicators for Message Identification) lässt eine Marke selbst festlegen, welches Logo Mail-Clients neben ihrem Absender anzeigen - aber nur, wenn die Echtheit der Mail kryptografisch belegt ist. Die Eckpunkte:

  • Sie veröffentlichen einen DNS-TXT-Record (einen Texteintrag im Namenssystem des Internets) unter default._bimi.example.de, der auf ein SVG-Logo und optional ein Markenzertifikat zeigt.
  • Das Logo erscheint nur, wenn die Mail eine gültige DMARC-Prüfung besteht und die DMARC-Policy mindestens auf quarantine (verdächtige Mail aussortieren) steht.
  • Das Logo muss dem Profil SVG Tiny Portable/Secure (SVG-P/S) entsprechen, einer abgesicherten, eingeschränkten SVG-Variante.
  • Das Zertifikat heißt VMC (Verified Mark Certificate) für eingetragene Marken oder CMC (Common Mark Certificate) für nachweislich genutzte, aber nicht eingetragene Logos.
  • Gmail und Apple Mail verlangen das Zertifikat; ein VMC schaltet bei Gmail zusätzlich den blauen Haken frei.

Details stehen bei der BIMI Group (dem Gremium, das den Standard pflegt).

Tiefgang

Das Markenlogo erscheint im Posteingang nur bei bestandenem DMARC und gültigem Markenzertifikat (VMC oder CMC).
Das Markenlogo erscheint im Posteingang nur bei bestandenem DMARC und gültigem Markenzertifikat (VMC oder CMC).

Der DNS-Record ist trivial, die Voraussetzungen sind es nicht. Ein minimaler Record sieht so aus: default._bimi IN TXT "v=BIMI1; l=https://assets.example.de/bimi/logo.svg; a=https://assets.example.de/bimi/vmc.pem". Der Parameter l verweist auf das Logo, a auf das Zertifikat im PEM-Format (ein textbasiertes Dateiformat für Zertifikate). Ohne a wird das Logo in Gmail und Apple Mail nicht gezeigt. Yahoo und Fastmail akzeptieren auch reine Logo-Records, allerdings nur, wenn DMARC korrekt eingerichtet ist.

DMARC (Domain-based Message Authentication, Reporting and Conformance - das Regelwerk, das festlegt, wie mit gefälschten Absendern Ihrer Domain umzugehen ist) muss hart stehen. Gemäß der Gmail-Dokumentation verlangt BIMI p=quarantine oder p=reject. Steht im DMARC-Record zusätzlich sp=none für Subdomains, schlägt die BIMI-Prüfung fehl, weil Subdomains damit von der Durchsetzung ausgenommen wären. Wer also saubere DMARC-Hausaufgaben gemacht hat, hat den Großteil der Arbeit bereits hinter sich. Siehe dazu unseren Artikel zur Mail-Authentifizierung mit SPF, DKIM, DMARC, MTA-STS und DANE.

Das Logo darf kein beliebiges SVG sein. SVG (Scalable Vector Graphics) ist ein Grafikformat, das Bilder als skalierbare Vektoren statt als Pixel beschreibt. BIMI schreibt das Profil "SVG Tiny Portable/Secure" (SVG-P/S) vor, eine eingeschränkte Variante von SVG Tiny 1.2. Skripte, externe Ressourcen, Animationen und Hyperlinks sind verboten, das Attribut baseProfile="tiny-ps" muss gesetzt sein, ein <title>-Element mit dem Markennamen ist Pflicht, und die Datei soll 32 Kilobyte nicht überschreiten. Die Anleitung der BIMI Group erklärt die Details; die meisten üblichen Export-Tools erzeugen nicht-konformes SVG, so dass ein manueller Nachbearbeitungsschritt fast immer nötig ist.

Das Markenzertifikat ist der teure Teil. Ein VMC bindet das Logo an eine in einem akzeptierten Register eingetragene Marke und wird nach aufwendiger Prüfung ausgestellt. Die BIMI Group führt aktuell DigiCert, GlobalSign und SSL.com als anerkannte Issuer (Zertifikats-Aussteller). Entrust hat den Markt 2024 verlassen; Apple akzeptiert Entrust-VMCs, die nach dem 15. November 2024 ausgestellt wurden, nicht mehr. Die Jahrespreise liegen typischerweise bei etwa 1.500 US-Dollar, mit Einstiegsangeboten darunter und Enterprise-Paketen darüber. Ein CMC verlangt keine eingetragene Marke, sondern nur eine dokumentierte Nutzung über mindestens zwölf Monate, und ist deutlich günstiger. Gmail zeigt seit September 2024 auch CMC-gestützte Logos, jedoch ohne den blauen Haken neben dem Absendernamen; dieser bleibt VMC-Inhabern mit eingetragener Marke vorbehalten. Apple Mail verlangt nach wie vor ein VMC.

Die Darstellung ist je nach Client unterschiedlich. Gmail zeigt das Logo sowohl in der Listen- als auch in der Detailansicht, auf dem Desktop seit Ende 2023 mit Verified-Checkmark bei VMC. Yahoo Mail blendet das Logo im Browser und in den Apps ein. Apple Mail unterstützt BIMI ab iOS 16, iPadOS 16 und macOS 13 (Ventura), ausschließlich mit VMC. Fastmail, La Poste und Libero sind ebenfalls dabei; Outlook.com und Microsoft 365 ziehen zum Redaktionszeitpunkt noch nicht mit.

Abgelehnte Alternativen

Gravatar-artige Avatar-Dienste sind kein Ersatz: Sie sind nicht an DMARC gekoppelt, lassen sich pro Nutzer überschreiben und enthalten kein Vertrauensmodell gegenüber der Marke. Eigene Logo-Felder in S/MIME (einem Standard für signierte und verschlüsselte Mail) oder im From-Header wurden in den letzten Jahren wiederholt vorgeschlagen, scheitern aber an fehlender clientseitiger Umsetzung und am Risiko, dass Fälscher das Feld einfach mitsenden. Ein rein visueller "blauer Haken" ohne kryptografische Absenderbindung, wie ihn manche Social-Media-Plattformen ausgeben, würde das Vertrauensproblem nur verlagern.

Was Sie jetzt tun sollten

  1. DMARC zuerst härten. Bringen Sie Ihre DMARC-Policy auf mindestens p=quarantine, ohne sp=none für Subdomains. Ohne durchgesetztes DMARC zeigt kein Client ein BIMI-Logo an.
  2. Logo ins richtige Profil bringen. Exportieren Sie Ihr Markenlogo als SVG und konvertieren Sie es ins Profil SVG Tiny P/S (quadratisch, mit <title>, ohne Skripte, unter 32 Kilobyte). Rechnen Sie mit manueller Nachbearbeitung.
  3. Zertifikatsbedarf klären. Entscheiden Sie zwischen VMC (eingetragene Marke, blauer Haken bei Gmail, von Apple Mail verlangt) und dem günstigeren CMC (nur nachweisliche Nutzung, kein Haken). Wer Apple-Nutzer erreichen will, braucht ein VMC.
  4. Zertifikat beim Issuer bestellen. Wenden Sie sich an DigiCert, GlobalSign oder SSL.com und halten Sie Markenurkunde, Logo-Datei und Organisationsnachweise bereit.
  5. Record veröffentlichen und prüfen. Setzen Sie den default._bimi-TXT-Record mit l und a und kontrollieren Sie das Ergebnis mit einem BIMI-Prüfer, bevor Sie sich auf die Anzeige verlassen.

Wie Dernium hier hilft

Dernium Mailcheck deckt die Mail-Authentifizierungs-Kette ab: SPF-Alignment prüfen, DKIM-Konfiguration kontrollieren, DMARC-Aggregate-Reports (RUA - die zusammengefassten Auswertungsberichte, die Mailprovider an Sie zurücksenden) empfangen und zu einer Policy-Empfehlung verdichten sowie MTA-STS und DANE im Blick behalten. Den BIMI-Record selbst samt SVG-Tiny-P/S-Validierung erzeugen Sie kostenlos mit dem BIMI-Generator in den Dernium Webtools; ein eigenes Managed-BIMI-Produkt bietet Dernium bewusst nicht an. Wer ein VMC oder CMC beschaffen will, bestellt direkt bei einem der anerkannten Issuer (Markenurkunde, Logo-Dateien im geforderten Profil, Organisationsnachweise); Dernium hält dabei keine Zertifikatsschlüssel.

Ein Detail, das beim Logo-Abruf zählt, ist die Privatsphäre. Das SVG wird von Mail-Providern serverseitig bei der Zustellung abgerufen, nicht beim Lesen im Client, so dass der Empfänger-IP-Leak (das ungewollte Preisgeben der IP-Adresse des Lesers) geringer ist als bei Trackingpixeln. Dennoch sehen die Webserver-Logs des Absenders in der Praxis die IPs der Mailbox-Provider und teilweise ihrer Weiterleitungsschichten. Empfehlenswert ist daher, das Logo auf einem separaten Static-Host ohne Zugriffsprotokollierung zu hosten und den Pfad unter einem anderen Namen zu publizieren als den eigenen Marketing-CDN, damit daraus keine Engagement-Metrik zweiter Ordnung wird.

Offene Punkte

Die Adoption unter deutschen Absendern ist noch überschaubar. Einzelne große Markenabsender wie Deutsche Telekom, Deutsche Post und einzelne Sparkassen-Verbundentitäten haben BIMI publiziert, viele Mittelständler nicht. Outlook.com und Microsoft 365 fehlen weiterhin; solange Business-Empfänger überwiegend Microsoft-Clients nutzen, bleibt der Sichtbarkeitsgewinn dort aus. Offen ist auch, wie sich das Verhältnis zwischen VMC und CMC weiterentwickelt: Solange Apple Mail ausschließlich VMC akzeptiert, bleibt das eingetragene Markenrecht de facto die Eintrittskarte für den gesamten Apple-Ökosystem-Nutzerkreis.

Häufige Fragen

Brauche ich für BIMI zwingend ein kostenpflichtiges Zertifikat?

Für die wichtigsten Clients ja. Gmail und Apple Mail zeigen ein BIMI-Logo nur an, wenn der Record auf ein Zertifikat (VMC oder CMC) verweist. Yahoo und Fastmail akzeptieren auch reine Logo-Records ohne Zertifikat, sofern DMARC korrekt durchgesetzt ist. Wer die große Reichweite von Gmail und Apple erreichen will, kommt um ein Zertifikat nicht herum.

Was ist der Unterschied zwischen VMC und CMC?

Ein VMC (Verified Mark Certificate) setzt eine in einem anerkannten Register eingetragene Marke voraus und schaltet bei Gmail zusätzlich den blauen Haken frei; Apple Mail akzeptiert ausschließlich VMC. Ein CMC (Common Mark Certificate) verlangt keine eingetragene Marke, sondern nur eine über mindestens zwölf Monate dokumentierte Nutzung des Logos, ist günstiger, zeigt bei Gmail aber keinen Haken und wird von Apple Mail nicht akzeptiert.

Warum reicht es nicht, einfach ein PNG-Logo zu hinterlegen?

BIMI schreibt das Format SVG Tiny Portable/Secure vor, eine abgesicherte Vektorgrafik ohne Skripte, externe Ressourcen oder Animationen, mit Pflicht-<title> und einer Größe unter 32 Kilobyte. Pixelformate wie PNG sind nicht zugelassen. Da gängige Export-Werkzeuge meist nicht-konformes SVG erzeugen, ist fast immer eine manuelle Nachbearbeitung nötig.

Nein. Die Anzeige hängt vom Mail-Client ab. Gmail, Yahoo Mail, Apple Mail (ab iOS 16 / macOS 13), Fastmail, La Poste und Libero unterstützen BIMI; Outlook.com und Microsoft 365 zeigen es zum Redaktionszeitpunkt nicht. Bei einer überwiegend Microsoft-nutzenden Empfängerschaft bleibt der sichtbare Effekt daher begrenzt.

Verrät BIMI Empfängerdaten wie ein Trackingpixel?

Nur eingeschränkt. Das Logo wird in der Regel serverseitig vom Mailprovider bei der Zustellung abgerufen, nicht erst beim Öffnen der Mail durch den Leser. Dadurch erfährt der Absender nicht die IP-Adresse des einzelnen Empfängers, sondern allenfalls die IPs der Mailbox-Provider. Um keine indirekte Engagement-Messung zu schaffen, sollten Sie das Logo auf einem separaten Host ohne Zugriffsprotokollierung ausliefern.