Hoewel bimi ook bekend is als een groente, gaat het in relatie tot e-mail allerminst over iets dat je kan eten. Het is overigens wel heel gezond voor je e-mailmarketing.
Nu phishing en spoofing steeds meer voorkomt kunnen we niet genoeg wapens hebben tegen deze praktijken. Nou kenden we al middelen als SPF, DKIM en DMARC. De vierde afkorting in die rij is BIMI. Maar, wat is het?
Waar staat BIMI voor?
BIMI is de afkorting voor Brand Indicators for Message Identification. Het is een heel goed middel om meer vertrouwen op te bouwen onder de ontvangers van je e-mails. Door een goede implementatie van BIMI wordt bijvoorbeeld je logo getoond naast je berichten (in programma’s die dat ondersteunen), zoals hieronder te zien.
Zoals je ziet val je dan veel meer op dan – zoals in Gmail gebruikelijk – de eerste letters van de afzender van de andere e-mails.
Daarnaast, als je bijvoorbeeld in Gmail in je browser een e-mail opent die een BIMI-verificatie heeft, zie je ook een blauw vinkje staan. Als je er met je muis op gaat staan, verschijnt deze melding dat de afzender de geverifieerde eigenaar is van het logo dat je ziet.
Zo krijg je dus ook een echt voor je ontvangers zichtbare manier om aan te tonen dat het bericht van een betrouwbare afzender komt.
Wat heb je nodig om BIMI in te kunnen zetten?
- Geldige DMARC-validatie
Om BIMI te kunnen gebruiken moet je DMARC goed staan. Wanneer de server van de ontvanger zoekt naar DMARC op jouw domein, wordt een eventuele BIMI record ook meegenomen.
Let op: het beleid (de p-tag) van je DMARC-record moet minstens op ‘quarantine’ of ‘reject’ staan. Dat is sowieso een goed idee, maar BIMI zal niet werken wanneer het beleid op ‘none’ staat. Ook moet het beleid uitgevoerd worden voor 100% van de uitgaande e-mails via jouw domein. De pct-waarde moet dus op ‘100’ staan, of niet in je DMARC-record staan (dan is het standaard 100%).
→ Lees hier meer over het instellen van een DMARC-record. - Een BIMI-record
Een BIMI record is een TXT-record die je instelt op de DNS van je domein. Net zoals bijvoorbeeld bij een SPF-record. In die record wordt de link gemaakt naar het logo dat je te zien kan krijgen en verwezen naar het verderop genoemde VMC-certificaat. Iets verderop vertel ik meer over hoe die record eruit moet zien. - Een logo van je bedrijf (in SVG-formaat)
Je moet een vector-gebaseerde afbeelding van jouw logo in SVG-formaat aanleveren, vierkant en zonder tekst. Ook moet de afbeelding een witte of transparante achtergrond hebben. - Een VMC-certificaat
Een VMC is een digital certificaat dat de authenticiteit van het logo bevestigt. Dit is vrij prijzig en alleen bij speciale instanties te krijgen. Verderop leg ik daar meer over uit.
Hoe ziet een BIMI-record eruit?
Een BIMI-record is eigenlijk vrij simpel. Dit is een voorbeeld van het BIMI-record van Centraal Beheer.
v=BIMI1; l=https://bimi.eu.dmarcadvisor.net/eu-m6panlfh/default/centraalbeheer.svg; a=https://bimi.eu.dmarcadvisor.net/eu-m6panlfh/default/centraalbeheer.pemJe herkent hierin drie paramaters:
- v: de te gebruiken versie van BIMI. Dit bevat altijd ‘BIMI1‘;
- l: de locatie van het logo dat getoond moet worden, in SVG-formaat (altijd beginnend met ‘https’);
- a: de link naar de locatie van het VMC-certificaat dat bij het logo hoort.
Wat is een VMC-certificaat?
Het Verified Mark Certificate (VMC) is een digitaal bewijs dat het logo waarnaar het BIMI-record verwijst is geregistreerd en ook echt bij de verzender hoort. Het maakt een cryptografische verbinding tussen je logo en je domein. Voor de ontvangende server ontstaat zo een extra manier om de echtheid van het logo en de connectie met het domein te controleren. Het is echter nog wel een heel setje stappen dat je moet doorlopen om een VMC te kunnen krijgen.
Hoe kom je aan een VMC-certificaat?
Om een VMC-certificaat te krijgen moet je een hele rij stappen doorlopen en ook budget reserveren.
- Je moet een geregistreerd merk hebben bij het merkenregister.
Als je deze nog niet hebt moet je eerst je merk registreren. Dat proces kan meerdere maanden tot een jaar duren en kost ook geld. - Als je een geregistreerd merk hebt kun je daarvoor een VMC-certificaat aanvragen.
Daarvoor zijn op dit moment slechts twee partijen die dit aanbieden. Dat zijn DigiCert en Entrust. Andere partijen die deze dienst aanbieden zijn zeer waarschijnlijk oplichters. De kosten hiervoor bedragen ongeveer € 1.500,- per jaar.
Let op: deze kosten komen dus nog bovenop de kosten die je al betaalt voor je merkregistratie. - Als de aanvraag succesvol is verlopen ontvang je het VMC als Privacy Enhanced Mail
De Privacy Enhanced Mail is te herkennen als een bestand met een .pem-extensie. Dat uploadt je naar een veilige omgeving en die locatie zet je vervolgens in a-tag van je BIMI-record.
Als je een totale rolberoerte krijgt van al deze ingewikkelde stappen heb ik goed nieuws: als je voor je authenticatie samenwerkt met bijvoorbeeld DMARC Advisor, kunnen zij stap 2 en 3 ook voor je uit handen nemen.
BIMI is géén extra beveiligingsmaatregel
Hoewel je om BIMI te kunnen gebruiken de authenticaties voor SPF, DKIM en DMARC moet hebben en een relatief streng beleid moet hanteren, is BIMI op zichzelf geen extra slot op de deur. BIMI is puur een visuele weergave dat het om een betrouwbare afzender gaat, waarbij je zoals in dit blog te zien een logo kunt zien en bijvoorbeeld een blauw vinkje. Je ontvangers kunnen dat zien, maar spamfilters hechten hier geen aparte waarde aan.
Welke e-mailproviders ondersteunen BIMI?
Niet alle e-mailproviders ondersteunen het gebruik van BIMI. Voor een actuele lijst met deelnemende provicers kan je terecht op de pagina met deelnemende bedrijven van BIMI Group. Voor Nederland zijn Apple (deels) en Gmail de belangrijkste partijen die BIMI ondersteunen.
Zelf testen of jouw domein al BIMI ondersteunt?
Dat kan je eenvoudig testen door jouw domein in te voeren in de BIMI Inspector.