Kompletny przewodnik wdrożenia BIMI 2026
Autorytatywne źródło wiedzy technicznej o implementacji BIMI. Specyfikacja SVG Tiny P/S, wymagania egzekwowania DMARC, certyfikaty VMC vs. CMC, struktura rekordów DNS oraz pełna lista kontrolna wdrożenia.
Czym naprawdę jest BIMI — i dlaczego ma znaczenie
Brand Indicators for Message Identification (BIMI) to najważniejszy sygnał zaufania w poczcie elektronicznej od czasu wprowadzenia DMARC. Pozwala właścicielom domen wyświetlać kryptograficznie zweryfikowane logo marki obok każdej wysyłanej wiadomości — w Gmail, Yahoo, Apple Mail i innych klientach pocztowych.
To nie jest funkcja kosmetyczna. BIMI stanowi wizualny rezultat rygorystycznego, wielowarstwowego łańcucha uwierzytelniania. Nie da się go sfałszować. Nie da się obejść podstawowych wymogów bezpieczeństwa za pomocą pieniędzy. Właśnie dlatego logo ma znaczenie: jest dowodem wykonanej pracy.
BIMI został sformalizowany jako RFC 9091 przez IETF w lipcu 2021 roku i jest zarządzany przez AuthIndicators Working Group — koalicję Gmail, Yahoo, Apple, Fastmail i Cloudmark. Każdy znaczący dostawca poczty zobowiązał się do stosowania tego standardu.
BIMI to wizualna nagroda za ścisłe zabezpieczenie domeny. Jeśli nie egzekwujesz polityki DMARC, Twoje logo nie pojawi się — niezależnie od tego, jak doskonały jest Twój plik SVG.
Standard SVG Tiny P/S — dlaczego jest tak restrykcyjny
BIMI nie akceptuje standardowego pliku SVG. Wymaga SVG Tiny P/S (Portable/Secure) — celowo restrykcyjnego profilu XML, zdefiniowanego specjalnie dla środowisk renderowania poczty elektronicznej.
Klienty pocztowe renderują logo BIMI w izolowanym kontekście, obok niezaufanej zawartości od milionów nadawców. Standardowy SVG to potężny format, zdolny do wykonywania skryptów, ładowania zewnętrznych zasobów i osadzania dowolnych danych binarnych. W kontekście poczty elektronicznej są to wektory ataku.
Profil W3C SVG Tiny P/S eliminuje te wektory poprzez jawne zabronienie:
- Elementów
i atrybutów obsługi zdarzeńon*— zapobiega wstrzykiwaniu złośliwego kodu przez klienty pocztowe - Znaczników
i osadzonych danych bitmapowych — zapobiega pikselom śledzącym i osadzaniu danych rastrowych. Ten zakaz jest bezwzględny. - Wymiarów względnych (
width="100%") — zapobiega atakom na układ strony - Reguł CSS
@importi zewnętrznych arkuszy stylów — zapobiega atakom typu side-channel opartym na CSS - Animacji — zapobiega rozpraszaniu uwagi i atakom czasowym
Obowiązkowe wymagania strukturalne
- Korzeń
musi deklarowaćversion="1.2"ibaseProfile="tiny-ps" - Wymagany kwadratowy
viewBox(proporcje 1:1) - Jednolity, całkowicie nieprzezroczysty element
tła pokrywający całe płótno - Wymagany element
- Poprawnie sformułowany, walidowalny XML
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Pure vector paths only -->
</svg>
Samonaprawiający się silnik makeBIMI automatycznie egzekwuje wszystkie wymagania. Dla przesłanych plików rastrowych (PNG, JPG) uruchamia prawdziwy potok wektoryzacji — preprocessing Sharp, a następnie trasowanie Potrace — generując czyste elementy bez osadzonych pikseli.
Wymaganie wstępne DMARC — fundament, który nie podlega negocjacjom
Zanim jakikolwiek dostawca poczty uzna Twój rekord BIMI, Twoja domena musi mieć w pełni egzekwowaną politykę DMARC.
p=none— Tylko monitorowanie. BIMI nie będzie renderowane.p=quarantine— Wiadomości niespełniające wymagań trafiają do spamu. BIMI może być renderowane.p=reject— Wiadomości niespełniające wymagań są odrzucane. BIMI będzie renderowane. Wymagane przez Gmail dla wyświetlania z VMC.
<h1 id="correct-dmarc-record-for-bimi-eligibility" class="md-h1">Correct DMARC record for BIMI eligibility</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
Użyj narzędzia audytu domeny, aby natychmiast zweryfikować status DMARC.
Krajobraz certyfikatów — VMC vs. CMC w 2026 roku
Verified Mark Certificate (VMC)
Wydawany przez Entrust lub DigiCert na podstawie zarejestrowanego znaku towarowego. Umożliwia uzyskanie oficjalnego niebieskiego znacznika Gmail. Wymagany do wyświetlania w Gmail. Właściwy wybór dla: przedsiębiorstw, spółek giełdowych, marek z istniejącymi rejestracjami znaków towarowych.
Common Mark Certificate (CMC)
Znak towarowy nie jest wymagany. Weryfikuje własność domeny i powiązanie z logo. Akceptowany przez Yahoo Mail, Apple Mail i Fastmail. Właściwy wybór dla: startupów, MŚP, twórców i każdej marki budującej drogę do VMC.
Podsumowanie: jeśli Gmail jest Twoim głównym celem, potrzebujesz VMC. Zacznij od CMC, jeśli chcesz szerokiego zasięgu podczas budowania drogi do VMC.
Rekord DNS
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— znacznik wersjil=— URI logo: publicznie dostępny adres URL HTTPS do pliku SVG Tiny P/Sa=— Lokalizacja dowodu autorytetu: adres URL HTTPS do pliku PEM certyfikatu VMC lub CMC
Wymagania dotyczące hostingu i infrastruktury
- Ważny certyfikat TLS (bez samopodpisanych)
- HTTP
200 OKzContent-Type: image/svg+xml - Brak uwierzytelniania dla adresu URL pliku SVG
- Hosting CDN zdecydowanie zalecany
- Rozmiar pliku poniżej 32 KB
Lista kontrolna wdrożenia
- Rekord SPF opublikowany i przechodzący walidację dla wszystkich autoryzowanych adresów IP wysyłających
- Podpisywanie DKIM włączone ze znacznikiem
d=dopasowanym do domeny From - Polityka DMARC ustawiona na
p=quarantinelubp=rejectzpct=100 - Plik SVG Tiny P/S utworzony, zwalidowany i hostowany przez HTTPS
- Certyfikat VMC lub CMC uzyskany i hostowany przez HTTPS
- Rekord DNS TXT BIMI opublikowany pod adresem
default._bimi.twojadomena.com - Rekord zweryfikowany przy użyciu narzędzia audytu domeny
- Testowy e-mail wysłany do Gmail lub Yahoo w celu potwierdzenia wyświetlania logo