IT-Lexikon
BIMICybersecurity

BIMI (Brand Indicators for Message Identification)

Offener E-Mail-Standard, der authentifizierten Absendern ermöglicht, ihr Markenlogo im Posteingang des Empfängers anzuzeigen — setzt eine strikte DMARC-Policy voraus.

BIMI (Brand Indicators for Message Identification) ist ein offener Standard, der es Unternehmen ermöglicht, ihr verifiziertes Markenlogo direkt im Posteingang des Empfängers anzuzeigen. Statt eines generischen Avatars oder der Initialen des Absenders sieht der Empfänger das offizielle Firmenlogo — ein visueller Vertrauensindikator, der die Wiedererkennbarkeit steigert und die Authentizität der Nachricht unterstreicht.

Voraussetzung: Strikte DMARC-Policy

BIMI funktioniert nicht isoliert, sondern baut auf der vollständigen E-Mail-Authentifizierung auf. Eine Domain muss SPF, DKIM und DMARC korrekt konfiguriert haben, wobei die DMARC-Policy mindestens auf p=quarantine, idealerweise auf p=reject stehen muss. Ohne diese Voraussetzung ignorieren E-Mail-Provider den BIMI-Record vollständig. Damit schafft BIMI einen konkreten geschäftlichen Anreiz, die DMARC-Policy zu verschärfen — ein Schritt, den viele Unternehmen aus Sorge vor fehlgeleiteten E-Mails hinauszögern.

Technische Umsetzung

Die Implementierung erfolgt über einen DNS-TXT-Record unter default._bimi.example.de. Dieser Record enthält zwei Felder: Das l=-Tag verweist auf eine URL, unter der das Markenlogo im SVG-Tiny-PS-Format gehostet wird. Das optionale a=-Tag verweist auf ein VMC-Zertifikat (Verified Mark Certificate), das die Markeninhaberschaft bestätigt.

Das SVG-Tiny-PS-Format ist eine spezielle Variante des SVG-Standards, die für BIMI vorgeschrieben ist. Reguläre SVG-Dateien, wie sie im Webdesign verwendet werden, werden von den E-Mail-Providern abgelehnt. Das Logo muss quadratisch sein, darf keine Skripte oder externe Referenzen enthalten und muss den exakten Spezifikationen des SVG Tiny Portable/Secure-Profils entsprechen. Viele Unternehmen unterschätzen den Aufwand, ein vorhandenes Logo in dieses Format zu konvertieren.

VMC und CMC: Zertifikatstypen

Ein Verified Mark Certificate (VMC) bestätigt, dass das Unternehmen Inhaber der eingetragenen Marke ist, die das Logo darstellt. Die Ausstellung erfordert eine beim Deutschen Patent- und Markenamt (DPMA), beim EUIPO oder einer anderen anerkannten Stelle registrierte Marke. Aktuell bieten DigiCert und Entrust VMC-Zertifikate an.

Für Unternehmen ohne eingetragene Marke gibt es seit 2023 das Common Mark Certificate (CMC), das weniger strenge Anforderungen stellt. Gmail unterscheidet visuell zwischen VMC- und CMC-verifizierten Logos — VMC-Logos erhalten ein blaues Häkchen, das zusätzliches Vertrauen signalisiert. Apple Mail zeigt BIMI-Logos auch ohne Zertifikat an, allerdings ohne Verifizierungsindikator.

Unterstützung durch E-Mail-Clients

Gmail war einer der ersten großen Provider, der BIMI seit Juli 2021 unterstützt — allerdings mit der Anforderung eines VMC-Zertifikats. Apple Mail hat BIMI-Unterstützung seit iOS 16 und macOS Ventura integriert, wobei hier auch Logos ohne VMC angezeigt werden. Yahoo und AOL unterstützen BIMI ebenfalls ohne VMC-Pflicht. Microsoft Outlook hat im Laufe von 2024 schrittweise BIMI-Unterstützung eingeführt. Bei deutschen Providern wie web.de und gmx.de fehlt die Unterstützung derzeit noch, was die Reichweite des Logos im deutschen Markt einschränkt.

Sicherheitsgewinn durch BIMI

Der direkte Sicherheitsgewinn von BIMI liegt weniger im Logo selbst als in den Voraussetzungen, die es erzwingt. Eine Domain mit BIMI hat zwangsläufig eine strikte DMARC-Policy, eine vollständige SPF- und DKIM-Konfiguration und — bei VMC — eine eingetragene Marke. Angreifer können das verifizierte Logo nicht fälschen, weil sie weder den DNS-Record kontrollieren noch ein VMC-Zertifikat für die fremde Marke erhalten. Das sichtbare Logo wird damit zum visuellen Signal für Empfänger, dass die E-Mail von einem authentifizierten Absender stammt.

Aus Phishing-Perspektive erhöht BIMI die Hemmschwelle für Angreifer: Eine gefälschte E-Mail, die kein Logo zeigt, während echte E-Mails der Domain ein Logo tragen, fällt im Posteingang sofort auf. Dieser Effekt verstärkt sich, je mehr Unternehmen BIMI implementieren und Empfänger sich an das Logo als Vertrauensindikator gewöhnen.

Praxistipp

Mit dem BIMI-Check prüfen Sie in Sekunden, ob Ihre Domain einen gültigen BIMI-Record veröffentlicht, ob das Logo im korrekten SVG-Tiny-PS-Format vorliegt und ob ein VMC- oder CMC-Zertifikat hinterlegt ist. Voraussetzung ist eine korrekte E-Mail-Authentifizierung — ob SPF, DKIM und DMARC Ihrer Domain den Anforderungen genügen, zeigt der E-Mail Security Check.