Technical Reference · 2026 Edition

Czy Gmail wymaga VMC dla BIMI? (Aktualizacja 2026)

Last updated min read

Czy Gmail wymaga VMC dla BIMI? (Aktualizacja 2026)

Najczęstszym pytaniem, jakie zadają administratorzy planujący wdrożenie BIMI, jest to, czy wymagany jest certyfikat kryptograficzny. Tak. Aby wyświetlić logo w Gmail lub Apple Mail, należy uzyskać Verified Mark Certificate (VMC) lub Common Mark Certificate (CMC).

Ten artykuł dokumentuje różnice w politykach poszczególnych dostawców skrzynek pocztowych oraz przyczyny, dla których najwięksi dostawcy wymagają weryfikacji opartej na certyfikatach [1].

Dwa poziomy BIMI

Protokół Brand Indicators for Message Identification (BIMI) definiuje dwa poziomy implementacji:

  1. BIMI z własną deklaracją: Właściciel domeny publikuje rekord DNS wskazujący na plik logo. Żadna strona trzecia nie weryfikuje tożsamości właściciela.
  2. BIMI z certyfikatem: Właściciel domeny publikuje rekord DNS wskazujący zarówno na plik logo, jak i certyfikat .pem wydany przez uznany urząd certyfikacji (CA).

Standard Yahoo (własna deklaracja)

Yahoo Mail i AOL akceptują poziom z własną deklaracją. Logo jest wyświetlane w tych klientach, gdy domena wymusza DMARC z p=quarantine lub p=reject, a logo jest zgodne ze specyfikacją W3C SVG Tiny P/S. VMC nie jest wymagany.

Standard Google i Apple (z certyfikatem)

Gmail, Google Workspace, iOS Mail, macOS Mail oraz iCloud Mail wymagają poziomu z certyfikatem. Klienci ci odrzucają rekordy z własną deklaracją. Jeśli rekord BIMI nie zawiera tagu a= wskazującego na ważny certyfikat, klienci ci ignorują rekord i wyświetlają ogólną sylwetkę zastępczą [2].

Dlaczego Gmail i Apple wymagają certyfikatów

Wymóg certyfikatu dotyczy konkretnej luki w zabezpieczeniach DMARC.

DMARC weryfikuje, że wiadomość pochodzi z domeny podanej w nagłówku From. DMARC nie weryfikuje, czy właściciel domeny ma prawo do wyświetlania danego logo. Bez wymogu certyfikatu atakujący mógłby zarejestrować secure-bank-alerts.com, wymusić na niej DMARC i opublikować rekord BIMI z własną deklaracją wskazujący na logo prawdziwego banku.

Aby zapobiec tej formie wizualnego spoofingu, Google i Apple delegują weryfikację tożsamości do urzędów certyfikacji audytowanych przez WebTrust, w tym Entrust i GlobalSign.

Podczas składania wniosku o VMC urząd certyfikacji przeprowadza notarialną weryfikację tożsamości organizacji i waliduje logo względem oficjalnych rejestrów znaków towarowych. Certyfikat jest wydawany dopiero po zakończeniu tej weryfikacji.

Niebieski znacznik weryfikacji

Gmail wyświetla zweryfikowany niebieski znacznik obok nazwy nadawcy dla domen, które wdrożyły VMC. Znacznik sygnalizuje odbiorcy, że zarówno infrastruktura wysyłkowa, jak i tożsamość marki zostały kryptograficznie zweryfikowane.

[!NOTE]
Common Mark Certificate (CMC) wyświetla logo w Gmail bez wymogu zarejestrowanego znaku towarowego, ale nie aktywuje niebieskiego znacznika.

Ścieżka implementacji

Aby wyświetlić logo w Gmail i Apple Mail, wykonaj następujące kroki:

  1. Spełnij wymagania techniczne. Wymuś DMARC na swojej domenie i przygotuj plik logo zgodny ze specyfikacją W3C SVG Tiny P/S. Aby zautomatyzować przygotowanie pliku, użyj makeBIMI.
  2. Uzyskaj certyfikat. Proces aplikacyjny w urzędzie certyfikacji wymaga dokumentacji znaków towarowych i przeglądu zgodności. Przedsiębiorstwa zazwyczaj korzystają z usług pośrednika, takiego jak veriBIMI, który przeprowadza audyt infrastruktury, zarządza weryfikacją znaków towarowych i wydaje finalny certyfikat.

Rekord z własną deklaracją jest odpowiedni do testów. Wdrożenia produkcyjne w Gmail i Apple Mail wymagają certyfikatu.

Źródła

[1] AuthIndicators Working Group. "BIMI Certificates." BIMI Group, https://bimigroup.org/bimi-certificates/ [2] Google Workspace Admin Help. "Set up BIMI." Google Support, https://support.google.com/a/answer/10911320