Technical Reference · 2026 Edition

Vereist Gmail een VMC voor BIMI? (Update 2026)

Last updated min read

Vereist Gmail een VMC voor BIMI? (Update 2026)

De meest gestelde vraag door beheerders bij het plannen van een BIMI-implementatie is of een cryptografisch certificaat vereist is. Ja. Om uw logo weer te geven in Gmail of Apple Mail, moet u een Verified Mark Certificate (VMC) of een Common Mark Certificate (CMC) verkrijgen.

Dit artikel documenteert de beleidsverschillen tussen mailboxproviders en de redenen waarom de grootste providers certificaatgebaseerde verificatie afdwingen [1].

De twee niveaus van BIMI

Het Brand Indicators for Message Identification (BIMI) protocol definieert twee implementatieniveaus:

  1. zelf-gedeclareerde BIMI: De domeineigenaar publiceert een DNS-record dat verwijst naar een logobestand. Geen enkele derde partij verifieert de identiteit van de eigenaar.
  2. Gecertificeerde BIMI: De domeineigenaar publiceert een DNS-record dat verwijst naar zowel een logobestand als een .pem-certificaat uitgegeven door een erkende Certificate Authority (CA).

Yahoo-standaard (zelf-gedeclareerd)

Yahoo Mail en AOL accepteren het zelf-gedeclareerde niveau. Uw logo wordt weergegeven in deze clients wanneer uw domein DMARC afdwingt met p=quarantine of p=reject en uw logo voldoet aan de W3C SVG Tiny P/S specificatie. Een VMC is niet vereist.

Google en Apple-standaard (gecertificeerd)

Gmail, Google Workspace, iOS Mail, macOS Mail en iCloud Mail vereisen het gecertificeerde niveau. Deze clients weigeren zelf-gedeclareerde records. Als uw BIMI-record geen a=-tag bevat die verwijst naar een geldig certificaat, negeren deze clients het record en tonen een generieke silhouet-placeholder [2].

Waarom Gmail en Apple certificaten vereisen

De certificaatvereiste adresseert een specifieke leemte in de bescherming van DMARC.

DMARC verifieert dat een bericht afkomstig is van het domein in de From-header. DMARC verifieert niet dat de domeineigenaar het wettelijke recht heeft om een bepaald logo weer te geven. Zonder certificaatvereiste zou een aanvaller secure-bank-alerts.com kunnen registreren, DMARC daarop afdwingen en een zelf-gedeclareerd BIMI-record publiceren dat verwijst naar het logo van een legitieme bank.

Om deze vorm van visuele spoofing te voorkomen, delegeren Google en Apple identiteitsverificatie aan WebTrust-geauditeerde Certificate Authorities, waaronder Entrust en GlobalSign.

Wanneer u een VMC aanvraagt, voert de CA een notariële identiteitscontrole uit op uw organisatie en valideert uw logo tegen officiële merkregisters. De CA geeft het certificaat pas uit nadat deze verificatie is voltooid.

Het blauwe vinkje

Gmail toont een geverifieerd blauw vinkje naast de afzendernaam voor domeinen die een VMC implementeren. Het vinkje signaleert aan de ontvanger dat zowel de verzendinfrastructuur als de merkidentiteit cryptografisch zijn geverifieerd.

[!NOTE]
Een Common Mark Certificate (CMC) toont uw logo in Gmail zonder dat een geregistreerd handelsmerk vereist is, maar activeert niet het blauwe vinkje.

Implementatiepad

Om uw logo weer te geven in Gmail en Apple Mail, voltooit u de volgende stappen:

  1. Voldoe aan de technische vereisten. Dwing DMARC af op uw domein en produceer een logobestand dat voldoet aan de W3C SVG Tiny P/S specificatie. Gebruik makeBIMI om de bestandsvoorbereiding te automatiseren.
  2. Verkrijg een certificaat. Het CA-aanvraagproces vereist merkdocumentatie en nalevingsbeoordeling. Bedrijven schakelen doorgaans een bemiddelingsbureau in zoals veriBIMI om de infrastructuur te auditen, merkverificatie te beheren en het definitieve certificaat uit te geven.

Een zelf-gedeclareerd record is geschikt voor testen. Productie-implementaties in Gmail en Apple Mail vereisen een certificaat.

Referenties

[1] AuthIndicators Working Group. "BIMI Certificates." BIMI Group, https://bimigroup.org/bimi-certificates/ [2] Google Workspace Admin Help. "Set up BIMI." Google Support, https://support.google.com/a/answer/10911320