Come Ottenere un Verified Mark Certificate (VMC): Guida Passo-Passo
Una guida completa passo-passo per ottenere un Verified Mark Certificate (VMC) per l'autenticazione email BIMI. Copre l'applicazione di DMARC, la registrazione del marchio, la conversione SVG, la richiesta alla CA e il deployment DNS.
Il Percorso verso un Verified Mark Certificate
Un Verified Mark Certificate (VMC) è un certificato digitale rilasciato da un'Autorità di Certificazione (CA) approvata che associa crittograficamente il logo del tuo marchio registrato al tuo dominio di invio email. Quando implementato correttamente insieme a un record DNS BIMI, istruisce i provider di posta elettronica partecipanti—tra cui Gmail, Yahoo Mail, Apple Mail e Fastmail—a visualizzare il logo del tuo brand nella casella di posta accanto ai messaggi autenticati.
Questa guida copre ogni prerequisito e azione necessaria per ottenere e implementare un VMC, nella sequenza corretta.
Panoramica dei Prerequisiti
Prima di iniziare, verifica di poter soddisfare tutti i seguenti requisiti:
- Policy DMARC a
p=rejectop=quarantine(è richiesta l'applicazione) - Un marchio registrato per il tuo logo in almeno una giurisdizione qualificante
- Un file logo SVG conforme al profilo W3C SVG Tiny 1.2 Portable/Secure (P/S)
- Accesso al DNS del tuo dominio per pubblicare il record BIMI
- Un budget per il VMC — i certificati vengono rilasciati annualmente e il prezzo è per dominio
Passaggio 1: Applicare DMARC a Livello di Policy
DMARC (Domain-based Message Authentication, Reporting & Conformance) è una base imprescindibile. Un VMC non ha effetto a meno che il tuo dominio non superi l'allineamento DMARC, e i provider di posta elettronica non visualizzeranno i loghi BIMI per i domini che operano al di sotto del livello di applicazione.
Requisiti
- SPF e DKIM devono essere entrambi configurati e allineati per il tuo dominio di invio.
- Il tuo record DMARC deve specificare
p=rejectop=quarantine. Una policyp=nonenon è qualificante. - Il record DMARC deve essere pubblicato sul dominio organizzativo (es.
_dmarc.example.com), non su un sottodominio.
Percorso consigliato verso l'applicazione
- Pubblica un record DMARC iniziale con
p=nonecon indirizzi di reportingruaeruf. - Raccogli i report aggregati per un minimo di due-quattro settimane.
- Identifica tutti i flussi di posta legittimi e assicurati che ciascuno superi l'allineamento SPF o DKIM.
- Avanza la policy in modo incrementale:
p=none→p=quarantine→p=reject. - Conferma che il record finale sia simile a:
_dmarc.example.com TXT "v=DMARC1; p=reject; rua=mailto:[email protected]"
Importante: Non procedere ai passaggi successivi finché l'applicazione DMARC non è stabile. Un flusso di posta mal configurato scoperto dopo il rilascio del VMC può causare il rifiuto di email legittime.
Passaggio 2: Registrare il Tuo Marchio
Un VMC può essere rilasciato solo per un logo che è un marchio registrato in una giurisdizione riconosciuta dalla CA emittente. Questo è il passaggio che la maggior parte delle organizzazioni sottovaluta in termini di tempi di realizzazione.
Giurisdizioni qualificanti (aggiornato al 2024)
Le CA approvate attualmente accettano registrazioni di marchi dai seguenti uffici:
| Giurisdizione | Ufficio | |---|---| | Stati Uniti | USPTO | | Unione Europea | EUIPO | | Regno Unito | UKIPO | | Canada | CIPO | | Australia | IP Australia | | Germania | DPMA | | Francia | INPI | | Giappone | JPO | | Spagna | OEPM | | Svizzera | IPI | | India | CGPDTM | | Brasile | INPI-BR | | Corea del Sud | KIPO | | Regno Unito | UKIPO |
Questo elenco si espande periodicamente. Verifica l'elenco aggiornato con la CA scelta prima di procedere.
Considerazioni chiave
- Il marchio deve coprire l'esatto logo che intendi utilizzare in BIMI. Un marchio denominativo (solo testo) non è qualificante; la registrazione deve essere per un marchio figurativo o di design (un logo).
- Lo stato della registrazione deve essere attivo al momento del rilascio del VMC e per tutta la durata di validità del certificato.
- I tempi di registrazione del marchio variano a seconda della giurisdizione. Il solo esame USPTO richiede tipicamente 8-12 mesi. Pianifica di conseguenza.
- Se il tuo logo è già registrato, conferma il numero di registrazione e l'immagine esatta presente negli archivi — l'SVG che invii deve corrispondere al marchio registrato.
Passaggio 3: Convertire il Tuo Logo in SVG Tiny 1.2 Portable/Secure
Questo è il passaggio tecnicamente più impegnativo per la maggior parte dei team di brand e design. La specifica VMC richiede che il tuo logo sia codificato come file SVG Tiny 1.2 Portable/Secure (P/S). I file SVG standard esportati da Adobe Illustrator, Figma o Inkscape non supereranno la validazione della CA senza modifiche.
Cos'è SVG Tiny 1.2 P/S?
SVG Tiny 1.2 è un sottoinsieme della specifica SVG progettato per ambienti con risorse limitate. Il profilo Portable/Secure aggiunge ulteriori restrizioni per prevenire contenuti eseguibili, caricamento di risorse esterne e scripting — tutti rischi per la sicurezza nel contesto del rendering delle email.
Elementi SVG comuni che devono essere rimossi o sostituiti
| Elemento o funzionalità non consentiti | Motivo |
|---|---|
| Tag | Sicurezza: codice eseguibile |
| Riferimenti href esterni | Sicurezza: caricamento risorse remote |
| Elementi con dati raster | Non permessi in Tiny P/S |
| Animazioni CSS (@keyframes) | Non nel profilo Tiny 1.2 |
| Filtri e modalità di fusione | Al di fuori dell'ambito Tiny 1.2 |
| Namespace non-SVG | Conformità al profilo |
| foreignObject | Non permesso |
Requisiti di conversione
- Il file deve dichiarare il namespace e il profilo SVG Tiny 1.2 corretti:
<svg version="1.2" baseProfile="tiny-ps"
xmlns="http:class="hl-cmt">//www.w3.org/2000/svg" ...>
- Un elemento
deve essere presente come primo figlio dell'elemento radice. - Il file deve essere autonomo — nessun font, immagine o foglio di stile esterno.
- L'area di lavoro dovrebbe essere quadrata (larghezza e altezza uguali). La maggior parte dei provider di posta elettronica ritaglia o maschera i loghi in formato circolare o quadrato.
- La dimensione del file dovrebbe essere mantenuta sotto i 32 KB dopo la conversione.
Validazione
Dopo la conversione, valida il file rispetto allo schema SVG Tiny P/S prima di inviarlo a una CA. L'invio di un file non conforme comporterà il rifiuto e ritarderà il rilascio.
Strumento gratuito di conversione SVG: makeBIMI.com converte il tuo logo in un file SVG Tiny 1.2 P/S conforme a BIMI gratuitamente. Carica il tuo file logo esistente e scarica un SVG pronto per la CA.
Passaggio 4: Fare Richiesta a un'Autorità di Certificazione Approvata
Una volta che la tua policy DMARC è applicata, il tuo marchio è registrato e il tuo SVG è conforme, puoi richiedere un VMC da una CA approvata.
Autorità di Certificazione Approvate
A partire dal 2024, due CA sono autorizzate a rilasciare VMC:
- DigiCert — digicert.com
- Entrust — entrust.com
Ulteriori CA potrebbero essere approvate nel tempo. Consulta l'elenco delle CA del BIMI Group per gli emittenti attualmente autorizzati.
Cosa verifica la CA
La CA esegue i seguenti controlli prima di rilasciare un VMC:
- Validazione del controllo del dominio (DCV): Devi dimostrare la proprietà del dominio per il quale viene richiesto il VMC.
- Verifica del marchio: La CA verifica la registrazione del marchio rispetto al database dell'ufficio IP pertinente. Dovrai fornire il tuo numero di registrazione e la giurisdizione.
- Corrispondenza logo-marchio: L'SVG che invii viene confrontato con il marchio registrato. Devono essere sostanzialmente identici.
- Verifica dell'applicazione DMARC: Alcune CA verificano che una DMARC