Le Guide Définitif d'Implémentation BIMI 2026
La référence technique de référence pour l'implémentation BIMI. Spécification SVG Tiny P/S, exigences d'application DMARC, panorama des certificats VMC vs. CMC, structure des enregistrements DNS et checklist d'implémentation complète.
Ce qu'est réellement BIMI — Et pourquoi c'est important
Brand Indicators for Message Identification (BIMI) représente le signal de confiance le plus significatif dans l'email depuis DMARC lui-même. Il permet aux propriétaires de domaines d'afficher un logo de marque vérifié cryptographiquement à côté de chaque message qu'ils envoient — dans Gmail, Yahoo, Apple Mail et au-delà.
Il ne s'agit pas d'une fonctionnalité cosmétique. BIMI est le résultat visuel d'une chaîne d'authentification rigoureuse et multi-couches. On ne peut pas le falsifier. On ne peut pas contourner les exigences de sécurité sous-jacentes en payant. C'est précisément ce qui donne sa signification au logo : c'est une preuve de travail.
BIMI a été formalisé en tant que RFC 9091 par l'IETF en juillet 2021, sous la gouvernance de l'AuthIndicators Working Group — une coalition réunissant Gmail, Yahoo, Apple, Fastmail et Cloudmark. Tous les principaux fournisseurs de messagerie se sont engagés sur ce standard.
BIMI est la récompense visuelle d'une sécurité de domaine stricte. Si vous n'avez pas appliqué DMARC, votre logo n'apparaîtra pas — quelle que soit la perfection de votre SVG.
Le standard SVG Tiny P/S — Pourquoi il est si restrictif
BIMI n'accepte pas un fichier SVG standard. Il exige SVG Tiny P/S (Portable/Secure) — un profil XML délibérément restrictif défini spécifiquement pour les environnements de rendu email.
Les clients de messagerie affichent les logos BIMI dans un contexte sandboxé aux côtés de contenus non fiables provenant de millions d'expéditeurs. Un SVG standard est un format puissant capable d'exécuter des scripts, de charger des ressources externes et d'incorporer des données binaires arbitraires. Dans un contexte email, ce sont des vecteurs d'attaque.
Le profil W3C SVG Tiny P/S élimine ces vecteurs en interdisant explicitement :
- Les éléments
et les gestionnaires d'événementson*— empêche l'injection de code malveillant via les clients de messagerie - Les balises
et les données bitmap incorporées — empêche les pixels de tracking et l'incorporation de données raster. Cette interdiction est absolue. - Les dimensions relatives (
width="100%") — empêche les attaques de mise en page - Les règles CSS
@importet les feuilles de style externes — empêche les attaques par canal auxiliaire basées sur CSS - Les animations — empêche les distractions et les attaques basées sur le timing
Exigences structurelles obligatoires
- L'élément racine
doit déclarerversion="1.2"etbaseProfile="tiny-ps" viewBoxcarré (ratio d'aspect 1:1) requis- Élément
d'arrière-plan uni, entièrement opaque, couvrant tout le canvas - Élément
requis - XML valide et bien formé
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Chemins vectoriels purs uniquement -->
</svg>
Le moteur d'auto-correction de makeBIMI applique automatiquement toutes les exigences. Pour les uploads raster (PNG, JPG), il exécute un véritable pipeline de vectorisation — prétraitement Sharp suivi du traçage Potrace — produisant des éléments purs sans aucun pixel incorporé.
Le prérequis DMARC — La fondation non négociable
Avant qu'un fournisseur de messagerie n'honore votre enregistrement BIMI, votre domaine doit disposer d'une politique DMARC pleinement appliquée.
p=none— Surveillance uniquement. BIMI ne s'affichera pas.p=quarantine— Les messages échouant sont envoyés en spam. BIMI peut s'afficher.p=reject— Les messages échouant sont rejetés. BIMI s'affichera. Requis par Gmail pour l'affichage avec VMC.
<h1 id="enregistrement-dmarc-correct-pour-l-ligibilit-bimi" class="md-h1">Enregistrement DMARC correct pour l'éligibilité BIMI</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
Utilisez l'outil d'audit de domaine pour vérifier instantanément votre posture DMARC.
Le panorama des certificats — VMC vs. CMC en 2026
Verified Mark Certificate (VMC)
Délivré par Entrust ou DigiCert sur la base d'une marque déposée. Active la coche bleue officielle Gmail. Requis pour l'affichage dans Gmail. Le bon choix pour : les entreprises, les sociétés cotées en bourse, les marques disposant déjà d'enregistrements de marques.
Common Mark Certificate (CMC)
Aucune marque déposée requise. Vérifie la propriété du domaine et l'association du logo. Accepté par Yahoo Mail, Apple Mail et Fastmail. Le bon choix pour : les startups, PME, créateurs, et toute marque en progression vers un VMC.
L'essentiel : si Gmail est votre cible principale, vous avez besoin d'un VMC. Commencez par un CMC si vous souhaitez une couverture large tout en progressant vers celui-ci.
L'enregistrement DNS
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— balise de versionl=— URI du logo : URL HTTPS publiquement accessible vers votre fichier SVG Tiny P/Sa=— Emplacement de la preuve d'autorité : URL HTTPS vers votre fichier PEM de certificat VMC ou CMC
Exigences d'hébergement et d'infrastructure
- Certificat TLS valide (pas d'auto-signé)
- HTTP
200 OKavecContent-Type: image/svg+xml - Aucune authentification sur l'URL du SVG
- Hébergement CDN fortement recommandé
- Taille de fichier inférieure à 32 Ko
Checklist d'implémentation
- Enregistrement SPF publié et validé pour toutes les IP d'envoi autorisées
- Signature DKIM activée avec la balise
d=alignée sur le domaine From - Politique DMARC à
p=quarantineoup=rejectavecpct=100 - Fichier SVG Tiny P/S créé, validé et hébergé via HTTPS
- Certificat VMC ou CMC obtenu et hébergé via HTTPS
- Enregistrement DNS TXT BIMI publié à
default._bimi.votredomaine.com - Enregistrement vérifié à l'aide de l'outil d'audit de domaine
- Email de test de bout en bout envoyé vers Gmail ou Yahoo pour confirmer l'affichage du logo