La Guida Definitiva all'Implementazione BIMI 2026
Il riferimento tecnico autorevole per l'implementazione BIMI. Specifiche SVG Tiny P/S, requisiti di enforcement DMARC, panoramica certificati VMC vs. CMC, struttura dei record DNS e checklist di implementazione completa.
Cos'è realmente BIMI — E perché è importante
Brand Indicators for Message Identification (BIMI) rappresenta il più significativo segnale di fiducia nell'email da DMARC in poi. Consente ai proprietari di domini di visualizzare un logo del brand verificato crittograficamente accanto a ogni messaggio inviato — su Gmail, Yahoo, Apple Mail e oltre.
Non si tratta di una funzionalità estetica. BIMI è l'output visivo di una rigorosa catena di autenticazione multilivello. Non è possibile falsificarlo. Non è possibile aggirare i requisiti di sicurezza sottostanti pagando. È precisamente questo che rende il logo significativo: è una prova di lavoro.
BIMI è stato formalizzato come RFC 9091 dall'IETF nel luglio 2021, governato dall'AuthIndicators Working Group — una coalizione che include Gmail, Yahoo, Apple, Fastmail e Cloudmark. Ogni principale provider di posta ha adottato questo standard.
BIMI è la ricompensa visiva per una sicurezza di dominio rigorosa. Se non hai applicato DMARC in modalità enforcement, il tuo logo non apparirà — indipendentemente da quanto sia perfetto il tuo SVG.
Lo standard SVG Tiny P/S — Perché è così restrittivo
BIMI non accetta un file SVG standard. Richiede SVG Tiny P/S (Portable/Secure) — un profilo XML deliberatamente restrittivo definito specificamente per gli ambienti di rendering email.
I client di posta renderizzano i loghi BIMI in un contesto sandboxed insieme a contenuti non attendibili provenienti da milioni di mittenti. Un SVG standard è un formato potente capace di eseguire script, caricare risorse esterne e incorporare dati binari arbitrari. In un contesto email, questi sono vettori di attacco.
Il profilo W3C SVG Tiny P/S elimina questi vettori proibendo esplicitamente:
- Elementi
e gestori di evention*— previene l'iniezione di codice malevolo tramite client email - Tag
e dati bitmap incorporati — previene tracking pixel e incorporamento di dati raster. Questo divieto è assoluto. - Dimensioni relative (
width="100%") — previene attacchi al layout - Regole CSS
@importe fogli di stile esterni — previene attacchi side-channel basati su CSS - Animazioni — previene distrazioni e attacchi basati sul timing
Requisiti strutturali obbligatori
- L'elemento root
deve dichiarareversion="1.2"ebaseProfile="tiny-ps" - Richiesto
viewBoxquadrato (aspect ratio 1:1) di sfondo solido e completamente opaco che copra l'intero canvas- Elemento
obbligatorio - XML valido e ben formato
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Solo tracciati vettoriali puri -->
</svg>
Il motore di auto-correzione di makeBIMI applica automaticamente tutti i requisiti. Per upload raster (PNG, JPG), esegue una vera pipeline di vettorizzazione — preprocessing Sharp seguito da tracing Potrace — producendo elementi puri senza pixel incorporati.
Il prerequisito DMARC — La base non negoziabile
Prima che qualsiasi provider di posta onori il tuo record BIMI, il tuo dominio deve avere una policy DMARC completamente in enforcement.
p=none— Solo monitoraggio. BIMI non verrà visualizzato.p=quarantine— Messaggi che falliscono inviati allo spam. BIMI potrebbe essere visualizzato.p=reject— Messaggi che falliscono rifiutati. BIMI verrà visualizzato. Richiesto da Gmail per la visualizzazione con VMC.
<h1 id="record-dmarc-corretto-per-l-idoneit-bimi" class="md-h1">Record DMARC corretto per l'idoneità BIMI</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
Usa lo strumento Domain Audit per verificare istantaneamente la tua configurazione DMARC.
Il panorama dei certificati — VMC vs. CMC nel 2026
Verified Mark Certificate (VMC)
Emesso da Entrust o DigiCert sulla base di un marchio registrato. Abilita il segno di spunta blu ufficiale di Gmail. Richiesto per la visualizzazione su Gmail. Scelta giusta per: aziende enterprise, società quotate in borsa, brand con registrazioni di marchio esistenti.
Common Mark Certificate (CMC)
Nessun marchio richiesto. Verifica la proprietà del dominio e l'associazione del logo. Accettato da Yahoo Mail, Apple Mail e Fastmail. Scelta giusta per: startup, PMI, creator e qualsiasi brand che stia costruendo verso un VMC.
In sintesi: se Gmail è il tuo target principale, hai bisogno di un VMC. Inizia con un CMC se desideri una copertura ampia mentre lavori verso il VMC.
Il record DNS
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— tag di versionel=— URI del logo: URL HTTPS pubblicamente accessibile al tuo file SVG Tiny P/Sa=— Authority Evidence Location: URL HTTPS al tuo file PEM del certificato VMC o CMC
Requisiti di hosting e infrastruttura
- Certificato TLS valido (no self-signed)
- HTTP
200 OKconContent-Type: image/svg+xml - Nessuna autenticazione sull'URL dell'SVG
- Hosting su CDN fortemente raccomandato
- Dimensione file inferiore a 32 KB
Checklist di implementazione
- Record SPF pubblicato e superato per tutti gli IP di invio autorizzati
- Firma DKIM abilitata con tag
d=allineato al dominio From - Policy DMARC a
p=quarantineop=rejectconpct=100 - File SVG Tiny P/S creato, validato e ospitato su HTTPS
- Certificato VMC o CMC ottenuto e ospitato su HTTPS
- Record DNS TXT BIMI pubblicato su
default._bimi.tuodominio.com - Record verificato usando lo strumento Domain Audit
- Email di test end-to-end inviata a Gmail o Yahoo per confermare la visualizzazione del logo