Der BIMI DNS-Eintrag: Die l= und a= Tags erklärt
Eine vollständige technische Referenz für die BIMI TXT-Eintrag-Syntax, einschließlich des l= Logo-Tags und des a= Zertifikat-Tags, unterstützter Konfigurationen und häufiger Fehlkonfigurationen.
Der vollständige BIMI DNS-Eintrag
Ein BIMI (Brand Indicators for Message Identification) DNS-Eintrag ist ein einzelner TXT-Eintrag, der teilnehmenden E-Mail-Clients mitteilt, wo sie Ihr Markenlogo finden — und falls erforderlich — das Zertifikat, das Ihr Eigentumsrecht nachweist. Die Syntax muss exakt stimmen: Ein einziger fehlerhafter Tag führt zu einem stillen Fehler ohne Bounce, ohne Fehlerprotokoll und ohne Logo.
Dieser Artikel behandelt jede Komponente des BIMI TXT-Eintrags, die Regeln für jeden Tag, die drei kanonischen Eintragskonfigurationen und die Fehlkonfigurationen, die die Logo-Anzeige stillschweigend verhindern.
Voraussetzungen
Bevor Sie einen BIMI-Eintrag veröffentlichen, stellen Sie sicher, dass Folgendes eingerichtet ist:
- DMARC-Richtlinie ist auf
p=quarantineoderp=rejectmit mindestenspct=100(oder gleichwertiger Durchsetzung) eingestellt. - Ihre Logo-Datei liegt im SVG Tiny P/S-Format vor und ist unter einer öffentlich zugänglichen HTTPS-URL gehostet.
- Wenn Sie Gmail oder Apple Mail anvisieren, verfügen Sie über ein gültiges VMC (Verified Mark Certificate) oder CMC (Common Mark Certificate) im PEM-Format, ebenfalls unter einer öffentlich zugänglichen HTTPS-URL gehostet.
BIMI-Eintragsstruktur
Ein BIMI TXT-Eintrag folgt dieser allgemeinen Syntax:
v=BIMI1; l=<logo-url>; a=<certificate-url>
| Tag | Name | Erforderlich | Beschreibung |
|-----|------|----------|-------------|
| v= | Version | Ja | Immer BIMI1. |
| l= | Logo-URL | Ja | HTTPS-URL, die auf Ihre SVG Tiny P/S Logo-Datei verweist. |
| a= | Authority Evidence | Bedingt | HTTPS-URL, die auf Ihr VMC oder CMC im PEM-Format verweist. Erforderlich für Gmail und Apple Mail. |
Der Eintrag wird als DNS TXT-Eintrag unter folgender Subdomain veröffentlicht:
default._bimi.<ihredomain.de>
Hinweis: Der default-Selektor ist der Standardselektor, der von allen großen E-Mail-Clients verwendet wird. Benutzerdefinierte Selektoren werden von der Spezifikation unterstützt, sind aber bei Empfängern noch nicht weit verbreitet implementiert.
Der l= Tag: Logo-URL
Funktion
Der l= Tag stellt die URL bereit, von der empfangende E-Mail-Clients Ihr Markenlogo abrufen. Wenn eine Nachricht die DMARC-Ausrichtung besteht, ruft der Client diese Datei ab und zeigt sie neben dem Absendernamen an.
Anforderungen
- Protokoll: Muss
https://sein. HTTP-URLs werden abgelehnt. - Erreichbarkeit: Die URL muss öffentlich zugänglich sein — keine Authentifizierung, keine Weiterleitungen, keine Geo-Blockierung. E-Mail-Server rufen diese URL von ihrer eigenen Infrastruktur ab, nicht über einen Browser.
- Dateiformat: Die Datei muss dem SVG Tiny P/S (Portable/Secure) Standard entsprechen, einer eingeschränkten Teilmenge von SVG 1.2 Tiny. Standard-SVG-Dateien werden die Validierung nicht bestehen, auch wenn sie im Browser korrekt dargestellt werden.
- Content-Type-Header: Der Server muss
image/svg+xmlzurückgeben. - Dateigröße: Halten Sie die Datei unter 32 KB. Einige Empfänger setzen strengere Limits durch.
Wichtige SVG Tiny P/S Einschränkungen
SVG Tiny P/S verbietet die folgenden Elemente und Attribute, die häufig in Standard-SVG-Dateien vorkommen:
- Externe Referenzen (
,xlink:hrefmit Verweis außerhalb der Datei) - Skripte (
) - Animationen (
,) - Eingebettete Rasterbilder
- Beliebige Schriftarten (nur Systemschriften oder in Pfade konvertierter Text)
Wichtig: Eine Datei, die gültiges SVG, aber kein gültiges SVG Tiny P/S ist, führt bei den meisten Clients zu einem stillen Fehler bei der Logo-Anzeige. Validieren Sie immer mit einem dedizierten BIMI SVG-Prüfer, bevor Sie veröffentlichen.
Leerer l= Wert
Die Spezifikation erlaubt l= mit einem leeren Wert (l=;), um die BIMI-Anzeige für eine Domain explizit zu deaktivieren, während dennoch ein Eintrag veröffentlicht wird. Dies ist ein Sonderfall, der in Subdomain-Unterdrückungsszenarien verwendet wird.
Der a= Tag: Authority Evidence (Zertifikat-URL)
Funktion
Der a= Tag verweist auf ein Mark Verifying Certificate (VMC) oder Common Mark Certificate (CMC) im PEM-Format. Dieses Zertifikat bindet Ihr Logo kryptographisch an Ihre Domain und wird von einer akkreditierten Zertifizierungsstelle (CA) ausgestellt. Empfangende E-Mail-Clients rufen dieses Zertifikat ab, validieren die Zertifikatskette und bestätigen, dass das eingebettete Logo mit der l= URL übereinstimmt, bevor sie das Zeichen anzeigen.
Anforderungen
- Protokoll: Muss
https://sein. HTTP-URLs werden abgelehnt. - Erreichbarkeit: Öffentlich zugänglich ohne Authentifizierung oder Weiterleitungen.
- Format: PEM-kodierte Zertifikatskette (
.pem). Die Datei muss die vollständige Kette vom Endentitätszertifikat bis zur vertrauenswürdigen Root enthalten. - Vertrauenskette: Das Zertifikat muss auf eine vertrauenswürdige Root-CA zurückführbar sein, die vom empfangenden E-Mail-Anbieter anerkannt wird. Selbstsignierte Zertifikate werden nicht akzeptiert.
- Logo-Hash-Übereinstimmung: Die SVG-Datei unter
l=muss mit dem im Zertifikat eingebetteten Logo-Hash übereinstimmen. Eine Aktualisierung Ihres Logos ohne Neuausstellung des Zertifikats unterbricht die Anzeige. - Gültigkeit: Das Zertifikat darf nicht abgelaufen oder widerrufen sein.
VMC vs CMC
| Zertifikatstyp | Vollständiger Name | Marke erforderlich | Ausgestellt von | |---|---|---|---| | VMC | Verified Mark Certificate | Ja — eingetragene Marke | DigiCert, Entrust | | CMC | Common Mark Certificate | Nein — Benutzungsmarke akzeptiert | DigiCert, Entrust |
CMCs senken die Einstiegshürde, indem sie die Anforderung einer Markeneintragung entfernen und BIMI mit Zertifikatsverifizierung einem breiteren Kreis von Organisationen zugänglich machen.
Selbstdeklarierte vs. zertifizierte Einträge
Selbstdeklarierter Eintrag (nur l=, kein a=)
Ein selbstdeklarierter Eintrag enthält nur den l= Tag. Es wird kein Zertifikat referenziert.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg;"
Wo es funktioniert:
- Yahoo Mail / AOL Mail: Zeigt das Logo ohne Zertifikat an, vorausgesetzt DMARC wird durchgesetzt.
- Fastmail: Unterstützt selbstdeklarierte Einträge.
Wo es nicht funktioniert:
- Gmail: Erfordert ein gültiges VMC oder CMC. Selbstdeklarierte Einträge werden ignoriert.
- Apple Mail: Erfordert ein gültiges VMC oder CMC. Selbstdeklarierte Einträge werden ignoriert.
- Microsoft Outlook (365): Verwendet ein eigenes BIMI-ähnliches System (BIMI wird derzeit nicht nativ unterstützt).
Zusammenfassung: Ein selbstdeklarierter Eintrag ist ein valider Ausgangspunkt und liefert Mehrwert bei Yahoo Mail, wird aber die Logo-Anzeige bei Gmail oder Apple Mail nicht freischalten.
VMC-Eintrag (Verified Mark Certificate)
Verwenden Sie diese Konfiguration, wenn Sie eine eingetragene Marke besitzen und ein VMC von einer akkreditierten CA erhalten haben.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg; a=https://bimi.example.com/vmc.pem;"
Unterstützt von: Gmail, Yahoo Mail, Apple Mail, Fastmail und allen anderen BIMI-teilnehmenden Clients.
CMC-Eintrag (Common Mark Certificate)
Verwenden Sie diese Konfiguration, wenn Sie ein CMC erhalten haben. Die DNS-Eintragssyntax ist identisch mit einem VMC-Eintrag — der Unterschied liegt im Zertifikat selbst, nicht im DNS-Eintrag.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg; a=https://bimi.example.com/cmc.pem;"
Unterstützt von: Gmail (seit der CMC-Unterstützungseinführung), Yahoo Mail, Apple Mail, Fastmail.
Hinweis: Bestätigen Sie immer den aktuellen CMC-Unterstützungsstatus bei Ihren Ziel-E-Mail-Clients, da die Einführungszeitpläne je nach Anbieter variieren.
Häufige Fehlkonfigurationen
1. Fehlerhafte a= URL verursacht stillen Fehler
Dies ist der schädlichste und