BIMI und VMC - Markenlogos im Posteingang, ohne den Empfänger zu tracken

24. Mai 2026 4 Min Lesezeit Serie: mail-auth #mail #dmarc #bimi

Wie BIMI verifizierte Markenlogos in Gmail, Yahoo und Apple Mail bringt, wofuer VMC und CMC stehen, welche DMARC-Voraussetzungen gelten und wo die Datenschutzfallen liegen.

Problem

Der Posteingang ist ein Ort ohne verlaessliche visuelle Identitaet. Wenn eine Mail mit dem Absendernamen "Sparkasse Service" ankommt, entscheidet heute der Empfaenger anhand von Schriftbild, Rechtschreibung und Bauchgefuehl, ob sie echt ist. Logos, die Clients wie Gmail oder Outlook neben dem Absender einblenden, wurden jahrelang aus zwei Quellen gespeist: dem Avatar im Adressbuch des Empfaengers und aus eigenen Datenbanken der Mail-Provider. Beides ist für die Marke nicht steuerbar. Ein Angreifer, der eine Lookalike-Domain registriert oder schlicht den Anzeigenamen faelscht, landet dadurch mit generischem Platzhalter-Icon im Posteingang, optisch kaum unterscheidbar von der echten Bank. Nutzer sind auf diese inkonsistente Darstellung seit Jahren trainiert und klicken trotzdem.

BIMI und die zugehoerigen Markenzertifikate sollen diese Luecke schliessen, indem die Marke selbst bestimmt, welches Logo sie im Posteingang zeigt, und ein Zertifikat beweist, dass sie dazu berechtigt ist.

Kurze Antwort

BIMI steht für "Brand Indicators for Message Identification". Der Absender veroeffentlicht einen DNS-TXT-Record unter dem Namen default._bimi.example.de, der auf ein SVG-Logo und optional auf ein Markenzertifikat zeigt. Unterstuetzende Mail-Clients rufen dieses Logo ab, prüfen das Zertifikat und zeigen das Logo nur an, wenn die Mail zusaetzlich eine gültige DMARC-Pruefung besteht und die DMARC-Policy mindestens auf quarantine steht. Das Zertifikat heißt VMC (Verified Mark Certificate) für eingetragene Marken oder CMC (Common Mark Certificate) für noch nicht eingetragene, aber nachweislich genutzte Logos. Details stehen bei der BIMI Group.

Tiefgang

Der DNS-Record ist trivial, die Voraussetzungen sind es nicht. Ein minimaler Record sieht so aus: default._bimi IN TXT "v=BIMI1; l=https://assets.example.de/bimi/logo.svg; a=https://assets.example.de/bimi/vmc.pem". Der Parameter l verweist auf das Logo, a auf das Zertifikat im PEM-Format. Ohne a wird das Logo in Gmail und Apple Mail nicht gezeigt. Yahoo und Fastmail akzeptieren auch reine Logo-Records, allerdings nur, wenn DMARC korrekt eingerichtet ist.

DMARC muss hart stehen. Gemäß der Gmail-Dokumentation verlangt BIMI p=quarantine oder p=reject. Steht im DMARC-Record zusaetzlich sp=none für Subdomains, schlaegt die BIMI-Pruefung fehl, weil Subdomains damit von der Durchsetzung ausgenommen waeren. Wer also saubere DMARC-Hausaufgaben gemacht hat, hat den Grossteil der Arbeit bereits hinter sich. Siehe dazu unseren Artikel zur Mail-Authentifizierung mit SPF, DKIM, DMARC, MTA-STS und DANE.

Das Logo darf kein beliebiges SVG sein. BIMI schreibt das Profil "SVG Tiny Portable/Secure" (SVG-P/S) vor, eine eingeschraenkte Variante von SVG Tiny 1.2. Skripte, externe Ressourcen, Animationen und Hyperlinks sind verboten, das Attribut baseProfile="tiny-ps" muss gesetzt sein, ein <title>-Element mit dem Markennamen ist Pflicht, und die Datei soll 32 Kilobyte nicht überschreiten. Die Anleitung der BIMI Group erklärt die Details; die meisten ueblichen Export-Tools erzeugen nicht-konformes SVG, so dass ein manueller Nachbearbeitungsschritt fast immer noetig ist.

Das Markenzertifikat ist der teure Teil. Ein VMC bindet das Logo an eine in einem akzeptierten Register eingetragene Marke und wird nach aufwendiger Prüfung ausgestellt. Die BIMI Group führt aktuell DigiCert, GlobalSign und SSL.com als anerkannte Issuer. Entrust hat den Markt 2024 verlassen; Apple akzeptiert Entrust-VMCs, die nach dem 15. November 2024 ausgestellt wurden, nicht mehr. Die Jahrespreise liegen typischerweise bei etwa 1.500 US-Dollar, mit Einstiegsangeboten darunter und Enterprise-Paketen darueber. Ein CMC verlangt keine eingetragene Marke, sondern nur eine dokumentierte Nutzung über mindestens zwoelf Monate, und ist deutlich guenstiger. Gmail zeigt seit September 2024 auch CMC-gestuetzte Logos, jedoch ohne den blauen Haken neben dem Absendernamen; dieser bleibt VMC-Inhabern mit eingetragener Marke vorbehalten. Apple Mail verlangt nach wie vor ein VMC.

Die Darstellung ist je nach Client unterschiedlich. Gmail zeigt das Logo sowohl in der Listen- als auch in der Detailansicht, auf dem Desktop seit Ende 2023 mit Verified-Checkmark bei VMC. Yahoo Mail blendet das Logo im Browser und in den Apps ein. Apple Mail unterstuetzt BIMI ab iOS 16, iPadOS 16 und macOS 13 (Ventura), ausschließlich mit VMC. Fastmail, La Poste und Libero sind ebenfalls dabei; Outlook.com und Microsoft 365 ziehen zum Redaktionszeitpunkt noch nicht mit.

Abgelehnte Alternativen

Gravatar-artige Avatar-Dienste sind kein Ersatz: Sie sind nicht an DMARC gekoppelt, lassen sich pro Nutzer überschreiben und enthalten kein Vertrauensmodell gegenueber der Marke. Eigene Logo-Felder in S/MIME oder im From-Header wurden in den letzten Jahren wiederholt vorgeschlagen, scheitern aber an fehlender clientseitiger Umsetzung und am Risiko, dass Faelscher das Feld einfach mitsenden. Ein rein visueller "blauer Haken" ohne kryptografische Absenderbindung, wie ihn manche Social-Media-Plattformen ausgeben, wuerde das Vertrauensproblem nur verlagern.

Wie Dernium hier hilft

Dernium Mailcheck (in Entwicklung) adressiert die komplette Kette: SPF-Alignment prüfen, DKIM-Schluesselrotation automatisieren, DMARC-Reports aggregieren und zu einer Policy-Empfehlung verdichten, MTA-STS und DANE ausrollen, und am Ende der Kette den BIMI-Record samt SVG-Validierung generieren. Wer ein VMC oder CMC beschaffen will, erhält eine vorgefertigte Zusammenstellung der benoetigten Unterlagen (Markenurkunde, Logo-Dateien im geforderten Profil, Organisationsnachweise) und eine Empfehlung für einen Issuer; die Bestellung selbst läuft direkt beim CA, Dernium behaelt keine Zertifikatsschluessel. Live ist aktuell keiner dieser Bausteine; die ehrliche Status-Liste steht auf der Produktseite von Dernium Mailcheck.

Ein Detail, das Mailcheck per Default richtig stellt, ist die Privatsphaere beim Logo-Abruf. Das SVG wird von Mail-Providern serverseitig bei der Zustellung abgerufen, nicht beim Lesen im Client, so dass der Empfaenger-IP-Leak geringer ist als bei Trackingpixeln. Dennoch sehen die Webserver-Logs des Absenders in der Praxis die IPs der Mailbox-Provider und teilweise ihrer Weiterleitungsschichten. Mailcheck empfiehlt daher, das Logo auf einem separaten Static-Host ohne Zugriffsprotokollierung zu hosten und den Pfad unter einem anderen Namen zu publizieren als den eigenen Marketing-CDN, damit daraus keine Engagement-Metrik zweiter Ordnung wird.

Offene Punkte

Die Adoption unter deutschen Absendern ist noch überschaubar. Einzelne grosse Markenabsender wie Deutsche Telekom, Deutsche Post und einzelne Sparkassen-Verbundentitaeten haben BIMI publiziert, viele Mittelstaendler nicht. Outlook.com und Microsoft 365 fehlen weiterhin; solange Business-Empfaenger überwiegend Microsoft-Clients nutzen, bleibt der Sichtbarkeitsgewinn dort aus. Offen ist auch, wie sich das Verhaeltnis zwischen VMC und CMC weiterentwickelt: Solange Apple Mail ausschließlich VMC akzeptiert, bleibt das eingetragene Markenrecht de facto die Eintrittskarte für den gesamten Apple-Oekosystem-Nutzerkreis.

Redaktioneller Hinweis

Die Inhalte dieses TechTalks wurden nach bestem Wissen und Gewissen erstellt und aufwendig recherchiert. Sie stellen grundsätzlich nur den Stand zum Zeitpunkt der redaktionellen Veröffentlichung dar. Sollte es wichtige Änderungen geben, verlinken wir kurze Aktualisierungsartikel zumeist direkt aus den Bezugsartikeln heraus; für ein vollständiges Bild sollten dann alle zusammengehörigen Artikel gelesen werden.

Wir bitten von konkreten Anfragen zu unseren Artikeln abzusehen (Ausnahme: Hinweise auf Fehler, die korrigiert werden sollten), da wir zu den hier aufgegriffenen Themen keine Beratungsleistungen anbieten können, insbesondere keine juristischen. Inwiefern Dernium Produkte in den hier beschriebenen Kontexten helfen können, ist in den Artikeln jeweils kurz umrissen, aber typischerweise nicht der Fokus dieser allgemeinen Informationsartikel.