Gmail richiede un VMC per BIMI? (Aggiornamento 2026)
Gmail richiede un VMC per BIMI? (Aggiornamento 2026)
La domanda più frequente che gli amministratori pongono quando pianificano l'implementazione di BIMI è se sia necessario un certificato crittografico. Sì. Per visualizzare il tuo logo in Gmail o Apple Mail, devi ottenere un Verified Mark Certificate (VMC) o un Common Mark Certificate (CMC).
Questo articolo documenta le differenze nelle policy tra i provider di posta elettronica e le ragioni per cui i principali provider impongono la verifica basata su certificato [1].
I due livelli di BIMI
Il protocollo Brand Indicators for Message Identification (BIMI) definisce due livelli di implementazione:
- BIMI auto-dichiarato: Il proprietario del dominio pubblica un record DNS che fa riferimento a un file logo. Nessuna terza parte verifica l'identità del proprietario.
- BIMI certificato: Il proprietario del dominio pubblica un record DNS che fa riferimento sia a un file logo sia a un certificato
.pememesso da un'Autorità di Certificazione (CA) riconosciuta.
Standard Yahoo (auto-dichiarato)
Yahoo Mail e AOL accettano il livello auto-dichiarato. Il tuo logo viene visualizzato in questi client quando il tuo dominio applica DMARC con p=quarantine o p=reject e il tuo logo è conforme alla specifica W3C SVG Tiny P/S. Un VMC non è richiesto.
Standard Google e Apple (certificato)
Gmail, Google Workspace, iOS Mail, macOS Mail e iCloud Mail richiedono il livello certificato. Questi client rifiutano i record auto-dichiarati. Se il tuo record BIMI non include un tag a= che fa riferimento a un certificato valido, questi client ignorano il record e visualizzano un segnaposto generico con silhouette [2].
Perché Gmail e Apple richiedono i certificati
Il requisito del certificato affronta una lacuna specifica nelle protezioni di DMARC.
DMARC verifica che un messaggio provenga dal dominio indicato nell'header From. DMARC non verifica che il proprietario del dominio abbia il diritto legale di utilizzare un determinato logo. Senza il requisito del certificato, un attaccante potrebbe registrare secure-bank-alerts.com, applicare DMARC e pubblicare un record BIMI auto-dichiarato che fa riferimento al logo di una banca legittima.
Per prevenire questa forma di spoofing visivo, Google e Apple delegano la verifica dell'identità ad Autorità di Certificazione sottoposte ad audit WebTrust, tra cui Entrust e GlobalSign.
Quando richiedi un VMC, la CA esegue una verifica dell'identità notarile sulla tua organizzazione e convalida il tuo logo rispetto ai registri ufficiali dei marchi. La CA emette il certificato solo dopo il completamento di questa verifica.
Il segno di spunta blu
Gmail visualizza un segno di spunta blu verificato accanto al nome del mittente per i domini che implementano un VMC. Il segno di spunta segnala al destinatario che sia l'infrastruttura di invio sia l'identità del brand sono state verificate crittograficamente.
[!NOTE]
Un Common Mark Certificate (CMC) visualizza il tuo logo in Gmail senza richiedere un marchio registrato, ma non attiva il segno di spunta blu.
Percorso di implementazione
Per visualizzare il tuo logo in Gmail e Apple Mail, completa i seguenti passaggi:
- Soddisfa i prerequisiti tecnici. Applica DMARC sul tuo dominio e produci un file logo conforme alla specifica W3C SVG Tiny P/S. Per automatizzare la preparazione del file, utilizza makeBIMI.
- Ottieni un certificato. Il processo di richiesta alla CA richiede documentazione sul marchio e revisione di conformità. Le aziende tipicamente si affidano a un intermediario come veriBIMI per verificare l'infrastruttura, gestire la convalida del marchio ed emettere il certificato finale.
Un record auto-dichiarato è adatto per i test. Le implementazioni in produzione su Gmail e Apple Mail richiedono un certificato.
Riferimenti
[1] AuthIndicators Working Group. "BIMI Certificates." BIMI Group, https://bimigroup.org/bimi-certificates/ [2] Google Workspace Admin Help. "Set up BIMI." Google Support, https://support.google.com/a/answer/10911320