BIMI導入の完全ガイド 2026年版
BIMI導入のための権威ある技術リファレンス。SVG Tiny P/S仕様、DMARC施行要件、VMCとCMC証明書の比較、DNSレコード構造、そして完全な導入チェックリストを網羅。
BIMIとは何か — なぜ重要なのか
Brand Indicators for Message Identification (BIMI) は、DMARC以来、メールにおける最も重要な信頼シグナルです。ドメイン所有者は、送信するすべてのメッセージの横に、暗号学的に検証されたブランドロゴを表示できるようになります — Gmail、Yahoo Mail、Apple Mail、その他多くのメールクライアントで。
これは単なる見た目の機能ではありません。BIMIは、厳格な多層認証チェーンの視覚的な出力です。偽装することはできません。基盤となるセキュリティ要件を金銭で回避することもできません。まさにそれこそが、このロゴを意味のあるものにしているのです:それは正当性の証明なのです。
BIMIは2021年7月にIETFによって RFC 9091 として正式に標準化され、AuthIndicators Working Group — Gmail、Yahoo、Apple、Fastmail、Cloudmarkの連合体 — によって管理されています。すべての主要なメールプロバイダーがこの標準にコミットしています。
BIMIは、厳格なドメインセキュリティに対する視覚的な報酬です。DMARCを施行していなければ、SVGがどれほど完璧であっても、ロゴは表示されません。
SVG Tiny P/S 標準 — なぜこれほど制限が厳しいのか
BIMIは標準的なSVGファイルを受け付けません。SVG Tiny P/S(Portable/Secure)が必要です — これはメールレンダリング環境専用に定義された、意図的に制限されたXMLプロファイルです。
メールクライアントは、数百万の送信者からの信頼されていないコンテンツと並んで、サンドボックス化されたコンテキストでBIMIロゴをレンダリングします。標準的なSVGは、スクリプトの実行、外部リソースの読み込み、任意のバイナリデータの埋め込みが可能な強力なフォーマットです。メールの文脈では、これらは攻撃ベクトルとなります。
W3C SVG Tiny P/Sプロファイルは、以下を明示的に禁止することでこれらのベクトルを排除しています:
要素とon*イベントハンドラ — メールクライアントを介した悪意のあるコード注入を防止タグと埋め込みビットマップデータ — トラッキングピクセルとラスターデータの埋め込みを防止。この禁止は絶対的です。- 相対的な寸法(
width="100%") — レイアウト攻撃を防止 - CSS
@importルールと外部スタイルシート — CSSベースのサイドチャネル攻撃を防止 - アニメーション — 注意散漫とタイミングベースの攻撃を防止
必須の構造要件
- ルート
はversion="1.2"とbaseProfile="tiny-ps"を宣言する必要がある - 正方形の
viewBox(1:1のアスペクト比)が必要 - キャンバス全体を覆う、完全に不透明な背景
が必要 要素が必要- 有効で整形式のXML
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- 純粋なベクターパスのみ -->
</svg>
makeBIMIの自己修復エンジンは、すべての要件を自動的に適用します。ラスター画像(PNG、JPG)のアップロードに対しては、真のベクター化パイプラインを実行します — Sharp前処理に続くPotraceトレーシング — 埋め込みピクセルゼロの純粋な 要素を生成します。
DMARCの前提条件 — 絶対に必要な基盤
メールプロバイダーがBIMIレコードを認識する前に、ドメインには完全に施行されたDMARCポリシーが必要です。
p=none— 監視のみ。BIMIは表示されません。p=quarantine— 失敗したメッセージはスパムに送られます。BIMIが表示される場合があります。p=reject— 失敗したメッセージは拒否されます。BIMIは表示されます。 GmailでのVMC付き表示には必須です。
<h1 id="bimi-dmarc" class="md-h1">BIMI適格性のための正しいDMARCレコード</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
ドメイン監査ツールを使用して、DMARCの状態を即座に確認できます。
証明書の全体像 — 2026年のVMCとCMC
Verified Mark Certificate (VMC)
Entrust または DigiCert によって登録商標に対して発行されます。Gmail公式の青いチェックマークを有効にします。Gmailでの表示には必須です。適している対象:企業、上場企業、既存の商標登録を持つブランド。
Common Mark Certificate (CMC)
商標は不要です。ドメインの所有権とロゴの関連付けを検証します。Yahoo Mail、Apple Mail、Fastmailで受け入れられます。適している対象:スタートアップ、中小企業、クリエイター、VMC取得に向けて構築中のあらゆるブランド。
結論: Gmailが主要なターゲットであれば、VMCが必要です。VMCに向けて構築しながら幅広いカバレッジを得たい場合は、CMCから始めてください。
DNSレコード
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— バージョンタグl=— ロゴURI:SVG Tiny P/Sファイルへの公開アクセス可能なHTTPS URLa=— Authority Evidence Location:VMCまたはCMC証明書PEMファイルへのHTTPS URL
ホスティングとインフラストラクチャの要件
- 有効なTLS証明書(自己署名は不可)
- HTTP
200 OKとContent-Type: image/svg+xml - SVG URLに認証なし
- CDNホスティングを強く推奨
- ファイルサイズ32KB未満
導入チェックリスト
- すべての承認された送信IPに対してSPFレコードが公開され、パスしている
- DKIM署名が有効で、
d=タグがFromドメインと整合している - DMARCポリシーが
p=quarantineまたはp=rejectでpct=100に設定されている - SVG Tiny P/Sファイルが作成、検証され、HTTPS経由でホストされている
- VMCまたはCMC証明書が取得され、HTTPS経由でホストされている
- BIMI DNS TXTレコードが
default._bimi.yourdomain.comに公開されている - ドメイン監査ツールを使用してレコードが検証されている
- ロゴ表示を確認するためにGmailまたはYahooにエンドツーエンドのテストメールを送信済み