BIMI steht für „Brand Indicators for Message Identification“ und ist ein recht neuer Standard, welcher Benutzern helfen soll, legitime Mails von Spam und Phishing Mails zu unterscheiden. BIMI soll Unternehmen die Möglichkeit bieten, das Firmenlogo im Posteingang des Empfängers anzuzeigen. Ein recht ähnliches Verfahren, werden Outlook Benutzer kennen, wo das Foto des Absenders in Outlook angezeigt wird. Hier mal ein Beispiel für eine Mail von CNN wo „Brand Indicators for Message Identification“ zum Einsatz kommt:
Nach dem Öffnen der Mail wird das CNN Logo angezeigt, in diesem Fall kann ein Benutzer also erkennen, dass diese Mail mit sehr hoher Wahrscheinlichkeit tatsächlich von CNN stammt. Damit BIMI funktioniert, muss für die Absender Domain SPF, DKIM und DMARC konfiguriert sein. Die DMARC Policy muss dabei auf „Reject“ oder auf „100% Quarantäne“ konfiguriert werden. Bei vielen Domains sollte dies aber schon der Fall sein, sodass man eigentlich auch BIMI einsetzen könnte. Leider ist es aber nicht ganz so einfach, wie der folgende Artikel zeigt.
BIMI konfigurieren
Um BIMI zu konfigurieren, wird zunächst mal ein entsprechendes Logo benötigt. Das Logo selbst ist schon die erste Herausforderung, denn das Logo muss als Vektor Grafik (SVG) vorliegen. Im Prinzip wäre das ja noch einfach, wenn es sich nicht auch noch um das Format SVG Portable / Secure (SVG P/S) handeln würde. Dieses Format scheint sich nur durch Adobe Illustrator oder über Umwege erstellen lassen. Ich hatte zunächst einfach mittels Inkscape eine SVG Datei erstellt, leider ist das so nicht kompatibel. Schlussendlich habe ich hier ein YouTube Video gefunden, wo mittels Inkscape aus einem PNG ein SVG P/S erstellt wird:
Hier ist mein Logo welches ich zum Testen verwendet habe:
Wie man am Link oben erkennen kann, habe ich das Logo auf meinen Webserver hochgeladen, damit es auch öffentlich abrufbar ist. Eigentlich ist der Rest banal, denn es sind eigentlich nur 3 Steps laut BIMI Group erforderlich:
Step 1 ist für meine Domain bereits erfüllt und sollte generell bereits weit verbreitet sein: SPF, DKIM und DMARC. Eigentlich ist dies ja auch schnell eingerichtet. Step 2 ist das Logo, logisch, ohne geht es nicht, auch wenn man hier vielleicht lieber Standard SVG genommen hätte. Step 3 ist als empfohlen aber optional gekennzeichnet. Leider stimmt das so nicht, mehr dazu gleich. Step 4 ist ein simpler DNS TXT Record, in meinem Fall dieser hier:
default._bimi.frankysweb.de IN TXT “v=BIMI1; l=https://www.frankysweb.de/frankysweb_tiny_ps.svg
Mit dem BIMI Inspector lässt sich schließlich der Status prüfen. Das Tool prüft MX, SPF, DKIM,DMARC Einstellungen, sowie das BIMI SVG Logo, den BIMI DNS EIntrag und das Verified Mark Certificate (der optionale Step 3):
Bei meiner Domain wird hier nur das fehlende Verified Mark Certificate angezeigt, welches bei manchen Mailanbietern erforderlich sein könnte:
BIMI ist nun eigentlich schon fertig eingerichtet, wäre da nicht dieser optionale Step 3.
Wer unterstützt BIMI?
Auf der BIMI Group Webseite findet sich eine Übersicht der Anbieter, welche BIMI unterstützen. Microsoft spielt nicht mit, in Deutschland weit verbreitete Anbieter wie GMX und web.de ziehen die Unterstützung scheinbar in Betracht. Der Status „Considering“ ist da aber auch schon länger so (Ich meine mich an 2022 zu erinnern):
Ich hab es mit meiner Konfiguration, welche ja als gültig angezeigt wird, bei GMail, Yahoo und AOL probiert. In diesem Artikel habe ich gelesen, dass zumindest Yahoo und AOL BIMI ohne VMC anbieten, daher der Test:
Ich habe gehofft, dass mein Logo nun bei Yahoo und AOL angezeigt wird, leider war das nicht der Fall. Scheinbar setzen mittlerweile alle Anbieter das Verified Mark Certificate (VMC) voraus:
Und genau da liegt meiner Meinung nach auch ein Problem.
Was ist ein Verified Mark Certificate (VMC) und warum ist BIMI weit verbreitet?
Ein Verified Mark Certificate (VMC) ist eine digitale Signatur für das BIMI Logo. Ähnlich wie bei einem S/MIME oder SSL Server Zertifikat bestätigt das VMC die Echtheit des BIMI Logos. Technisch gesehen funktioniert das VMC auch ähnlich wie ein normales SSL Zertifikat. Ihr reicht euer Logo beio einer öffentlichen Zertifizierungsstelle ein (selbst signiert funktioniert nicht) und bekommt ein Zertifikat. Das Zertifikat liegt dann als PEM Datei auf einem Webserver und wird im BIMI DNS Eintrag mit angegeben. Hier mal als Beispiel von CNN:
v=BIMI1; l=https://amplify.valimail.com/bimi/time-warner/LFMoxJPK5xh-cable_news_network_inc2.svg; a=https://amplify.valimail.com/bimi/time-warner/LFMoxJPK5xh-cable_news_network_inc2.pem
Im Fall von CNN kommt das Zertfikat von DigiCert und man kann sich es auch unter Windows anschauen:
Mir ist übrigens nicht ganz klar, warum dieses VMC bei allen Anbietern erforderlich ist. Das Logo liegt auf meinem Webserver, der BIMI DNS Eintrag erfolgt in meiner Domain und das Logo wird via HTTPS übertragen. Die Mails, wo das Logo angezeigt werden soll, müssen erfolgreich SPF, DKIM und DMARC durchlaufen haben. Warum man dann noch mal eine Signatur bzw. ein Zertifikat für das Logo benötigt erschließt sich mir nicht.
Auf der BIMI Group Webseite sind übrigens genau zwei öffentliche Zertifizierungsstellen gelistet, welche VMCs ausstellen:
DigiCert möchte 1416,00 EUR pro Zertifikat haben, Entrust 1299,00 USD. Pro Jahr. Dieses kleine Logo kostet also 1416 EUR pro Jahr:
Fazit
Dies erklärt meiner Meinung nach auch, warum ich mich extra bei CNN anmelden musste, um überhaupt mal eine BIMI Mail zu Gesicht zu bekommen. Ich glaube ja, dass sich so nicht wirklich was an der Verbreitung von BIMI ändern wird. Über 100 EUR pro Monat, für ein kleines Logo, welches bei Ansicht der Mail bei manchen Mail Anbietern angezeigt wird? So wird es sich wahrscheinlich nicht groß verbreiten.
Von mir gibt es nur ein „Sinnlos“ als Kommentar.
Was bitte soll denn dies ein Mehr an Sicherheit oder SPAM Schutz oder gar Authentizität bringen?
So ein Logo leicht abgewandelt mit eigenen Zertifikat für SPAMing einzusetzen um mehr Authentizität zu verursachen wäre doch kinderleicht. Ich bin sogar der Meinung, dass der normale Nutzer z.B. ein Original CNN Logo von einem abgewandelten ähnlichen gar nicht unterscheiden könnte. Auch Äpfel könnte man mit Birnen oder Orangen vergleichen. Zumal die Darstellung eh „winzig“ ist, würden wichtige Details unter gehen. Andererseits sind aus Erfahrung Nutzer generell verunsichert, wenn so eine E-Mail eingeht, die anders als die üblichen aussehen. Sowas führt oftmals gleich zum Löschen.
Deswegen gibt’s ja das vmc mit der Prüfung auf das eingetragene Logo. ;) laut rfc ist das zwar optional, aber wie man am Artikel ja sieht, ist es eher weniger optimal.
Ich finde es gut, dass nur VMC (bestätigte/signierte) Logos angezeigt werden. Sonst könnte sich ja jeder das Logo von z.B. Franky hochladen und damit versenden, SPF, DKIM, DMARC stellt ja bei einer falschen Domäne z.B. frankisweb.de keine Hürde für einen Angreifer da. Der normale User würde ja nie mehr auf etwas anderes als das kleine Logo achten.
Danke dir wie immer für deine Mühe.
Vor allem, muss man erstmal ein registered trademark haben, damit man sich ein VMC ordern kann. Sonst könnte ja jeder den angebissenen Apfel in seine Domain hängen. ;)
Verifying the Trademark
– You will be asked to provide us with the Registered Mark’s trademark registration number and the name of the Trademark Office that granted the trademark registration.
– For information on currently approved Trademark offices see “Qualifying for a VMC – How to Trademark Your Logo.”
– If your mark is already registered, this step will go quickly. If your mark is not trademarked you’ll want to do that before applying for a VMC.
Solange also der Preis bei ca. 1000€ pro Jahr liegt, sehe ich das bei „normalen“ Kunden bisher nicht. Die erste Hürde dürfte wie erwähnt schon sein, sein Logo eintragen zu lassen.
Hier mal noch ein paar Links dazu:
https://register.dpma.de/
https://www.euipo.europa.eu/
https://bimigroup.org/bimi-for-non-trademarked-logos/
The first wave of VMCs to be issued require that the logo be an image registered with a trademark authority that is recognized by the MVAs. The initial set of countries with recognized trademark authorities include: US, Canada, EU, UK, Germany, Japan, Australia, and Spain. This list will continue to grow as additional trademark authorities around the world are authorized.
Verlässliche (BIMI)“Gruppe ;)
Ich wusste gar nicht daß Deutschland und Spanien nicht in der EU sind. ;)
Das ist schon für den dexit ;)
Stetig neue Verfahren – BIMI ist wohl noch RFC-draft – verschlimmern mM die Situation. Durch die Vielzahl wissen die Anwender dann auch nichtmehr worauf zu achten ist. Ich plädiere für das KISS-Prinzip. Wer nicht hinschaut was er tut und einmal geschädigt wird, der wird zur Besinnung gedrängt. Schaut also künftig hin – oder entscheidet sich gegen den Einsatz einer Technik. Fazit: wenig ist mehr
Solange du das als Privatperson so siehst, ist das ja deine Sache. Ungünstigerweise gibts aber bei Firmen immer noch jede Menge Leute die genau deswegen auf alles klicken, was nicht bei 3 auf dem Baum ist, weil es eben keinen Schaden für sie selbst zur Folge hat (sondern ggf. fürs Unternehmen). Sprich, da wird überhaupt niemand zur Besinnung gedrängt, sondern als Admin versucht man das Risiko auf jedem Wege möglichst schon so gering wie möglich zu halten. Ob BIMI da wirklich zu beiträgt, wage ich zu bezweifeln, aber wer weiß, wie sich das noch entwickelt.
Naja, dann fehlt es da an entsprechender Mitarbeiterschulung und einer Anweisung von Oben.
Seit einem Vorfall vor über 15 Jahren ist das bei mir in der Firma entsprechend geregelt und bei Mißachtung hat es arbeitsrechtliche Maßnahmen gegenüber dem Mitarbeiter zur Folge!
Seit das so geregelt ist, gab es keinerlei entsprechende Vorfälle mehr.
Das meiste bleibt eh im Spamfilter und im Virenscanner hängen.
Noch härtere Maßnahmen gibt es bei einem Großkunden (Konzern mit mehreren 10.000 Mitarbeitern) von uns:
Der hat für viele Abteilungen ein Whitelisting eingeführt.
Man muß da seine Emailadresse registrieren.
Alle Mails von nicht registrierten Mailadressen an die entsprechenden Mailadressen weist deren Mailserver ab mit dem Hinweis, das die Mailadresse bei ihnen nicht registriert ist.
Finde ich gut, aber dürfte die absolute Ausnahme darstellen.
Fazit
Geldmacherei!