De Definitieve BIMI Implementatiegids 2026
De gezaghebbende technische referentie voor BIMI-implementatie. SVG Tiny P/S-specificatie, DMARC-handhavingsvereisten, VMC versus CMC-certificaatlandschap, DNS-recordstructuur en een complete implementatiechecklist.
Wat BIMI Werkelijk Is — En Waarom Het Ertoe Doet
Brand Indicators for Message Identification (BIMI) is het belangrijkste vertrouwenssignaal in e-mail sinds DMARC zelf. Het stelt domeineigenaren in staat om een cryptografisch geverifieerd merklogo weer te geven naast elk bericht dat ze versturen — in Gmail, Yahoo, Apple Mail en daarbuiten.
Dit is geen cosmetische functie. BIMI is de visuele output van een rigoureuze, meerlaagse authenticatieketen. Je kunt het niet vervalsen. Je kunt de onderliggende beveiligingseisen niet omzeilen met geld. Dat is precies wat het logo betekenisvol maakt: het is bewijs van inspanning.
BIMI werd geformaliseerd als RFC 9091 door de IETF in juli 2021, beheerd door de AuthIndicators Working Group — een coalitie van Gmail, Yahoo, Apple, Fastmail en Cloudmark. Elke grote inbox-provider heeft zich gecommitteerd aan deze standaard.
BIMI is de visuele beloning voor strikte domeinbeveiliging. Als je DMARC niet hebt afgedwongen, verschijnt je logo niet — ongeacht hoe perfect je SVG is.
De SVG Tiny P/S Standaard — Waarom Deze Zo Restrictief Is
BIMI accepteert geen standaard SVG-bestand. Het vereist SVG Tiny P/S (Portable/Secure) — een bewust restrictief XML-profiel dat specifiek is gedefinieerd voor e-mailrenderomgevingen.
E-mailclients renderen BIMI-logo's in een gesandboxte context naast onbetrouwbare content van miljoenen afzenders. Een standaard SVG is een krachtig formaat dat scripts kan uitvoeren, externe bronnen kan laden en willekeurige binaire data kan insluiten. In een e-mailcontext zijn dit aanvalsvectoren.
Het W3C SVG Tiny P/S-profiel elimineert deze vectoren door expliciet te verbieden:
-elementen enon*-event handlers — voorkomt kwaadaardige code-injectie via e-mailclients-tags en ingesloten bitmapdata — voorkomt trackingpixels en rasterdata-insluiting. Dit verbod is absoluut.- Relatieve afmetingen (
width="100%") — voorkomt lay-outaanvallen - CSS
@import-regels en externe stylesheets — voorkomt CSS-gebaseerde side-channel aanvallen - Animaties — voorkomt afleiding en timing-gebaseerde aanvallen
Verplichte Structurele Vereisten
- Root
moetversion="1.2"enbaseProfile="tiny-ps"declareren - Vierkante
viewBox(1:1 beeldverhouding) vereist - Solide, volledig ondoorzichtige achtergrond
die het hele canvas bedekt -element vereist- Valide, welgevormde XML
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Alleen pure vectorpaden -->
</svg>
makeBIMI's zelfherstellende engine handhaaft alle vereisten automatisch. Voor rasteruploads (PNG, JPG) draait het een echte vectorisatiepipeline — Sharp-voorverwerking gevolgd door Potrace-tracing — en produceert pure -elementen zonder ingesloten pixels.
De DMARC-Voorwaarde — De Niet-Onderhandelbare Basis
Voordat een e-mailprovider je BIMI-record zal honoreren, moet je domein een volledig handhavend DMARC-beleid hebben.
p=none— Alleen monitoring. BIMI wordt niet gerenderd.p=quarantine— Falende berichten naar spam gestuurd. BIMI kan worden gerenderd.p=reject— Falende berichten afgewezen. BIMI wordt gerenderd. Vereist door Gmail voor VMC-ondersteunde weergave.
<h1 id="correct-dmarc-record-voor-bimi-geschiktheid" class="md-h1">Correct DMARC-record voor BIMI-geschiktheid</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
Gebruik de Domeinaudit-tool om je DMARC-status direct te verifiëren.
Het Certificaatlandschap — VMC vs. CMC in 2026
Verified Mark Certificate (VMC)
Uitgegeven door Entrust of DigiCert op basis van een geregistreerd handelsmerk. Maakt het officiële Gmail Blauwe Vinkje mogelijk. Vereist voor Gmail-weergave. Juiste keuze voor: ondernemingen, beursgenoteerde bedrijven, merken met bestaande handelsmerkregistraties.
Common Mark Certificate (CMC)
Geen handelsmerk vereist. Verifieert domeineigendom en logo-associatie. Geaccepteerd door Yahoo Mail, Apple Mail en Fastmail. Juiste keuze voor: startups, mkb, creators en elk merk dat toewerkt naar een VMC.
De conclusie: als Gmail je primaire doelwit is, heb je een VMC nodig. Begin met een CMC als je brede dekking wilt terwijl je ernaartoe bouwt.
Het DNS-Record
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— versietagl=— Logo-URI: publiek toegankelijke HTTPS-URL naar je SVG Tiny P/S-bestanda=— Authority Evidence Location: HTTPS-URL naar je VMC- of CMC-certificaat PEM-bestand
Hosting- & Infrastructuurvereisten
- Geldig TLS-certificaat (niet zelf-ondertekend)
- HTTP
200 OKmetContent-Type: image/svg+xml - Geen authenticatie op de SVG-URL
- CDN-hosting sterk aanbevolen
- Bestandsgrootte onder 32 KB
Implementatiechecklist
- SPF-record gepubliceerd en geslaagd voor alle geautoriseerde verzend-IP's
- DKIM-ondertekening ingeschakeld met
d=-tag uitgelijnd op het From-domein - DMARC-beleid op
p=quarantineofp=rejectmetpct=100 - SVG Tiny P/S-bestand gemaakt, gevalideerd en gehost via HTTPS
- VMC- of CMC-certificaat verkregen en gehost via HTTPS
- BIMI DNS TXT-record gepubliceerd op
default._bimi.jouwdomein.com - Record geverifieerd met de Domeinaudit-tool
- End-to-end test-e-mail verzonden naar Gmail of Yahoo om logoweergave te bevestigen