BIMI (Brand Indicators for Message Identification) - HowTo

BIMI stands for "Brand Indicators for Message Identification" and is a fairly new standard designed to help users distinguish legitimate emails from spam and phishing emails. BIMI is intended to enable companies to display the company logo in the recipient's inbox. Outlook users will be familiar with a very similar process, where the sender's photo is displayed in Outlook. Here is an example of an email from CNN where "Brand Indicators for Message Identification" is used:

BIMI (Brand Indicators for Message Identification) - HowTo

After opening the mail, the CNN logo is displayed, so in this case a user can recognize that this mail very likely actually comes from CNN. For BIMI to work, SPF, DKIM and DMARC must be configured for the sender domain. The DMARC Policy must be configured to "Reject" or "100% Quarantine". However, this should already be the case for many domains, so you could actually also use BIMI. Unfortunately, it is not quite that simple, as the following article shows.

Configure BIMI

To configure BIMI, you first need an appropriate logo. The logo itself is the first challenge, because the logo must be available as a vector graphic (SVG). In principle, this would be easy if it were not for the SVG Portable / Secure (SVG P/S) format. It seems that this format can only be created by Adobe Illustrator or via detours. At first I simply created an SVG file using Inkscape, but unfortunately this is not compatible. Finally, I found a YouTube video here, where an SVG P/S is created from a PNG using Inkscape:

Here is my logo which I used for testing:

As you can see from the link above, I have uploaded the logo to my web server so that it is also publicly available. The rest is actually trivial, because according to the BIMI Group, only 3 steps are actually required:

BIMI (Brand Indicators for Message Identification) - HowTo

Step 1 is already fulfilled for my domain and should generally already be widespread: SPF, DKIM and DMARC. This is actually also quick to set up. Step 2 is the logo, logically, you can't do without it, even if you might have preferred to use standard SVG here. Step 3 is marked as recommended but optional. Unfortunately this is not the case, more on this in a moment. Step 4 is a simple DNS TXT record, in my case this one:

default._bimi.frankysweb.de IN TXT "v=BIMI1; l=https://www.frankysweb.de/frankysweb_tiny_ps.svg

Finally, the BIMI Inspector can be used to check the status. The tool checks MX, SPF, DKIM, DMARC settings, as well as the BIMI SVG logo, the BIMI DNS EIntrag and the Verified Mark Certificate (the optional Step 3):

For my domain, only the missing Verified Mark Certificate is displayed here, which may be required by some mail providers:

BIMI (Brand Indicators for Message Identification) - HowTo

BIMI is actually already set up, if it weren't for this optional Step 3.

Who supports BIMI?

The BIMI Group website provides an overview of providers that support BIMI. Microsoft is not playing along, but providers widely used in Germany such as GMX and web.de are apparently considering support. However, the status "Considering" has been there for some time (I seem to remember 2022):

BIMI (Brand Indicators for Message Identification) - HowTo

I tried it with my configuration, which is displayed as valid, with GMail, Yahoo and AOL. I read in this article that at least Yahoo and AOL offer BIMI without VMC, hence the test:

BIMI (Brand Indicators for Message Identification) - HowTo

I was hoping that my logo would now be displayed on Yahoo and AOL, but unfortunately this was not the case. It seems that all providers now require the Verified Mark Certificate (VMC):

BIMI (Brand Indicators for Message Identification) - HowTo

And in my opinion, this is precisely where the problem lies.

What is a Verified Mark Certificate (VMC) and why is BIMI widely used?

A Verified Mark Certificate (VMC) is a digital signature for the BIMI logo. Similar to an S/MIME or SSL server certificate, the VMC confirms the authenticity of the BIMI logo. Technically speaking, the VMC also works in a similar way to a normal SSL certificate. You submit your logo to a public certification authority (self-signed does not work) and receive a certificate. The certificate is then stored as a PEM file on a web server and is included in the BIMI DNS entry. Here is an example from CNN:

v=BIMI1; l=https://amplify.valimail.com/bimi/time-warner/LFMoxJPK5xh-cable_news_network_inc2.svg; a=https://amplify.valimail.com/bimi/time-warner/LFMoxJPK5xh-cable_news_network_inc2.pem

In the case of CNN, the certificate comes from DigiCert and you can also view it under Windows:

VMC certificate

Incidentally, it is not entirely clear to me why this VMC is required for all providers. The logo is on my web server, the BIMI DNS entry is in my domain and the logo is transmitted via HTTPS. The mails where the logo is to be displayed must have successfully passed SPF, DKIM and DMARC. It is not clear to me why a signature or certificate is required for the logo.

Incidentally, there are exactly two public certification bodies listed on the BIMI Group website that issue VMCs:

DigiCert wants 1416.00 EUR per certificate, Entrust 1299.00 USD. Per year. So this small logo costs 1416 EUR per year:

Logo and VMC price

Fazit

In my opinion, this also explains why I had to register with CNN in order to see a BIMI mail at all. I don't think this will really change the spread of BIMI. Over 100 EUR per month for a small logo, which is displayed when viewing the mail with some mail providers? It probably won't spread very far this way.

13 thoughts on “BIMI (Brand Indicators for Message Identification) – HowTo”

  1. Von mir gibt es nur ein „Sinnlos“ als Kommentar.

    Was bitte soll denn dies ein Mehr an Sicherheit oder SPAM Schutz oder gar Authentizität bringen?
    So ein Logo leicht abgewandelt mit eigenen Zertifikat für SPAMing einzusetzen um mehr Authentizität zu verursachen wäre doch kinderleicht. Ich bin sogar der Meinung, dass der normale Nutzer z.B. ein Original CNN Logo von einem abgewandelten ähnlichen gar nicht unterscheiden könnte. Auch Äpfel könnte man mit Birnen oder Orangen vergleichen. Zumal die Darstellung eh „winzig“ ist, würden wichtige Details unter gehen. Andererseits sind aus Erfahrung Nutzer generell verunsichert, wenn so eine E-Mail eingeht, die anders als die üblichen aussehen. Sowas führt oftmals gleich zum Löschen.

    Reply
    • Deswegen gibt’s ja das vmc mit der Prüfung auf das eingetragene Logo. ;) laut rfc ist das zwar optional, aber wie man am Artikel ja sieht, ist es eher weniger optimal.

      Reply
  2. Ich finde es gut, dass nur VMC (bestätigte/signierte) Logos angezeigt werden. Sonst könnte sich ja jeder das Logo von z.B. Franky hochladen und damit versenden, SPF, DKIM, DMARC stellt ja bei einer falschen Domäne z.B. frankisweb.de keine Hürde für einen Angreifer da. Der normale User würde ja nie mehr auf etwas anderes als das kleine Logo achten.

    Danke dir wie immer für deine Mühe.

    Reply
  3. Vor allem, muss man erstmal ein registered trademark haben, damit man sich ein VMC ordern kann. Sonst könnte ja jeder den angebissenen Apfel in seine Domain hängen. ;)

    Verifying the Trademark

    – You will be asked to provide us with the Registered Mark’s trademark registration number and the name of the Trademark Office that granted the trademark registration.
    – For information on currently approved Trademark offices see “Qualifying for a VMC – How to Trademark Your Logo.”
    – If your mark is already registered, this step will go quickly. If your mark is not trademarked you’ll want to do that before applying for a VMC.

    Solange also der Preis bei ca. 1000€ pro Jahr liegt, sehe ich das bei „normalen“ Kunden bisher nicht. Die erste Hürde dürfte wie erwähnt schon sein, sein Logo eintragen zu lassen.

    Hier mal noch ein paar Links dazu:

    https://register.dpma.de/
    https://www.euipo.europa.eu/

    https://bimigroup.org/bimi-for-non-trademarked-logos/
    The first wave of VMCs to be issued require that the logo be an image registered with a trademark authority that is recognized by the MVAs. The initial set of countries with recognized trademark authorities include: US, Canada, EU, UK, Germany, Japan, Australia, and Spain. This list will continue to grow as additional trademark authorities around the world are authorized.

    Reply
  4. Stetig neue Verfahren – BIMI ist wohl noch RFC-draft – verschlimmern mM die Situation. Durch die Vielzahl wissen die Anwender dann auch nichtmehr worauf zu achten ist. Ich plädiere für das KISS-Prinzip. Wer nicht hinschaut was er tut und einmal geschädigt wird, der wird zur Besinnung gedrängt. Schaut also künftig hin – oder entscheidet sich gegen den Einsatz einer Technik. Fazit: wenig ist mehr

    Reply
    • Solange du das als Privatperson so siehst, ist das ja deine Sache. Ungünstigerweise gibts aber bei Firmen immer noch jede Menge Leute die genau deswegen auf alles klicken, was nicht bei 3 auf dem Baum ist, weil es eben keinen Schaden für sie selbst zur Folge hat (sondern ggf. fürs Unternehmen). Sprich, da wird überhaupt niemand zur Besinnung gedrängt, sondern als Admin versucht man das Risiko auf jedem Wege möglichst schon so gering wie möglich zu halten. Ob BIMI da wirklich zu beiträgt, wage ich zu bezweifeln, aber wer weiß, wie sich das noch entwickelt.

      Reply
      • Naja, dann fehlt es da an entsprechender Mitarbeiterschulung und einer Anweisung von Oben.
        Seit einem Vorfall vor über 15 Jahren ist das bei mir in der Firma entsprechend geregelt und bei Mißachtung hat es arbeitsrechtliche Maßnahmen gegenüber dem Mitarbeiter zur Folge!
        Seit das so geregelt ist, gab es keinerlei entsprechende Vorfälle mehr.
        Das meiste bleibt eh im Spamfilter und im Virenscanner hängen.

        Noch härtere Maßnahmen gibt es bei einem Großkunden (Konzern mit mehreren 10.000 Mitarbeitern) von uns:
        Der hat für viele Abteilungen ein Whitelisting eingeführt.
        Man muß da seine Emailadresse registrieren.
        Alle Mails von nicht registrierten Mailadressen an die entsprechenden Mailadressen weist deren Mailserver ab mit dem Hinweis, das die Mailadresse bei ihnen nicht registriert ist.

        Reply

Leave a Comment