Der definitive BIMI-Implementierungsleitfaden 2026
Die maßgebliche technische Referenz für die BIMI-Implementierung. SVG Tiny P/S-Spezifikation, DMARC-Durchsetzungsanforderungen, VMC- vs. CMC-Zertifikatslandschaft, DNS-Record-Struktur und eine vollständige Implementierungs-Checkliste.
Was BIMI wirklich ist — und warum es wichtig ist
Brand Indicators for Message Identification (BIMI) ist das bedeutendste Vertrauenssignal im E-Mail-Bereich seit DMARC selbst. Es ermöglicht Domain-Inhabern, ein kryptografisch verifiziertes Markenlogo neben jeder gesendeten Nachricht anzuzeigen — in Gmail, Yahoo, Apple Mail und darüber hinaus.
Dies ist keine kosmetische Funktion. BIMI ist die visuelle Ausgabe einer rigorosen, mehrschichtigen Authentifizierungskette. Man kann es nicht fälschen. Man kann sich nicht an den zugrunde liegenden Sicherheitsanforderungen vorbeikaufen. Genau das macht das Logo bedeutsam: Es ist ein Arbeitsnachweis.
BIMI wurde im Juli 2021 von der IETF als RFC 9091 formalisiert und wird von der AuthIndicators Working Group verwaltet — einer Koalition aus Gmail, Yahoo, Apple, Fastmail und Cloudmark. Jeder große Posteingangsanbieter hat sich diesem Standard verpflichtet.
BIMI ist die visuelle Belohnung für strikte Domain-Sicherheit. Wenn Sie DMARC nicht durchgesetzt haben, wird Ihr Logo nicht angezeigt — unabhängig davon, wie perfekt Ihr SVG ist.
Der SVG Tiny P/S-Standard — Warum er so restriktiv ist
BIMI akzeptiert keine Standard-SVG-Datei. Es erfordert SVG Tiny P/S (Portable/Secure) — ein bewusst restriktives XML-Profil, das speziell für E-Mail-Rendering-Umgebungen definiert wurde.
E-Mail-Clients rendern BIMI-Logos in einem Sandbox-Kontext neben nicht vertrauenswürdigen Inhalten von Millionen von Absendern. Ein Standard-SVG ist ein leistungsfähiges Format, das Skripte ausführen, externe Ressourcen laden und beliebige Binärdaten einbetten kann. Im E-Mail-Kontext sind dies Angriffsvektoren.
Das W3C SVG Tiny P/S-Profil eliminiert diese Vektoren, indem es explizit verbietet:
-Elemente undon*-Event-Handler — verhindert bösartige Code-Injektion über E-Mail-Clients-Tags und eingebettete Bitmap-Daten — verhindert Tracking-Pixel und Rasterdaten-Einbettung. Dieses Verbot ist absolut.- Relative Dimensionen (
width="100%") — verhindert Layout-Angriffe - CSS
@import-Regeln und externe Stylesheets — verhindert CSS-basierte Seitenkanal-Angriffe - Animationen — verhindert Ablenkung und zeitbasierte Angriffe
Obligatorische strukturelle Anforderungen
- Root
mussversion="1.2"undbaseProfile="tiny-ps"deklarieren - Quadratische
viewBox(1:1 Seitenverhältnis) erforderlich - Solider, vollständig opaker Hintergrund
, der die gesamte Canvas abdeckt -Element erforderlich- Valides, wohlgeformtes XML
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Nur reine Vektorpfade -->
</svg>
Die selbstheilende Engine von makeBIMI erzwingt alle Anforderungen automatisch. Für Raster-Uploads (PNG, JPG) führt sie eine echte Vektorisierungs-Pipeline aus — Sharp-Vorverarbeitung gefolgt von Potrace-Tracing — und produziert reine -Elemente ohne eingebettete Pixel.
Die DMARC-Voraussetzung — Das nicht verhandelbare Fundament
Bevor ein E-Mail-Anbieter Ihren BIMI-Record berücksichtigt, muss Ihre Domain eine vollständig durchgesetzte DMARC-Richtlinie haben.
p=none— Nur Überwachung. BIMI wird nicht gerendert.p=quarantine— Fehlgeschlagene Nachrichten werden in den Spam verschoben. BIMI kann gerendert werden.p=reject— Fehlgeschlagene Nachrichten werden abgelehnt. BIMI wird gerendert. Von Gmail für VMC-gestützte Anzeige erforderlich.
<h1 id="korrekter-dmarc-record-f-r-bimi-berechtigung" class="md-h1">Korrekter DMARC-Record für BIMI-Berechtigung</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
Verwenden Sie das Domain-Audit-Tool, um Ihre DMARC-Konfiguration sofort zu überprüfen.
Die Zertifikatslandschaft — VMC vs. CMC in 2026
Verified Mark Certificate (VMC)
Ausgestellt von Entrust oder DigiCert gegen eine eingetragene Marke. Ermöglicht das offizielle Gmail-Blaue-Häkchen. Erforderlich für Gmail-Anzeige. Die richtige Wahl für: Unternehmen, börsennotierte Gesellschaften, Marken mit bestehenden Markenregistrierungen.
Common Mark Certificate (CMC)
Keine Marke erforderlich. Verifiziert Domain-Eigentum und Logo-Zuordnung. Akzeptiert von Yahoo Mail, Apple Mail und Fastmail. Die richtige Wahl für: Startups, KMUs, Kreative und jede Marke, die auf ein VMC hinarbeitet.
Das Fazit: Wenn Gmail Ihr primäres Ziel ist, benötigen Sie ein VMC. Beginnen Sie mit einem CMC, wenn Sie breite Abdeckung wünschen, während Sie darauf hinarbeiten.
Der DNS-Record
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— Versions-Tagl=— Logo-URI: öffentlich zugängliche HTTPS-URL zu Ihrer SVG Tiny P/S-Dateia=— Authority Evidence Location: HTTPS-URL zu Ihrer VMC- oder CMC-Zertifikat-PEM-Datei
Hosting- und Infrastrukturanforderungen
- Gültiges TLS-Zertifikat (keine selbstsignierten)
- HTTP
200 OKmitContent-Type: image/svg+xml - Keine Authentifizierung für die SVG-URL
- CDN-Hosting dringend empfohlen
- Dateigröße unter 32 KB
Implementierungs-Checkliste
- SPF-Record veröffentlicht und bestanden für alle autorisierten sendenden IPs
- DKIM-Signierung aktiviert mit
d=-Tag ausgerichtet auf die From-Domain - DMARC-Richtlinie auf
p=quarantineoderp=rejectmitpct=100 - SVG Tiny P/S-Datei erstellt, validiert und über HTTPS gehostet
- VMC- oder CMC-Zertifikat beschafft und über HTTPS gehostet
- BIMI DNS TXT-Record veröffentlicht unter
default._bimi.ihredomain.com - Record verifiziert mit dem Domain-Audit-Tool
- End-to-End-Test-E-Mail an Gmail oder Yahoo gesendet, um Logo-Anzeige zu bestätigen