O Registro DNS BIMI: As Tags l= e a= Explicadas
Uma referência técnica completa sobre a sintaxe do registro TXT BIMI, cobrindo a tag l= para logo e a tag a= para certificado, configurações suportadas e erros de configuração comuns.
O Registro DNS BIMI Completo
Um registro DNS BIMI (Brand Indicators for Message Identification) é um único registro TXT que informa aos clientes de email participantes onde encontrar o logo da sua marca e — quando necessário — o certificado que comprova que você é o proprietário. Acertar a sintaxe exatamente é inegociável: uma única tag malformada causa falha silenciosa, sem bounce, sem log de erro e sem logo.
Este artigo cobre cada componente do registro TXT BIMI, as regras que governam cada tag, as três configurações canônicas de registro e os erros de configuração que quebram silenciosamente a exibição do logo.
Pré-requisitos
Antes de publicar um registro BIMI, confirme que os seguintes itens estão implementados:
- Política DMARC está configurada como
p=quarantineoup=rejectcom pelo menospct=100(ou enforcement equivalente). - Seu arquivo de logo está no formato SVG Tiny P/S e hospedado em uma URL HTTPS publicamente acessível.
- Se você está visando Gmail ou Apple Mail, você possui um VMC (Verified Mark Certificate) ou CMC (Common Mark Certificate) válido em formato PEM, também hospedado em uma URL HTTPS publicamente acessível.
Estrutura do Registro BIMI
Um registro TXT BIMI segue esta sintaxe geral:
v=BIMI1; l=<logo-url>; a=<certificate-url>
| Tag | Nome | Obrigatório | Descrição |
|-----|------|-------------|-----------|
| v= | Versão | Sim | Sempre BIMI1. |
| l= | URL do Logo | Sim | URL HTTPS apontando para seu arquivo de logo SVG Tiny P/S. |
| a= | Evidência de Autoridade | Condicional | URL HTTPS apontando para seu VMC ou CMC em formato PEM. Obrigatório para Gmail e Apple Mail. |
O registro é publicado como um registro TXT DNS no seguinte subdomínio:
default._bimi.<seudominio.com>
Nota: O seletor default é o seletor padrão usado por todos os principais clientes de email. Seletores personalizados são suportados pela especificação, mas ainda não são amplamente implementados pelos receptores.
A Tag l=: URL do Logo
O Que Ela Faz
A tag l= fornece a URL da qual os clientes de email receptores buscam o logo da sua marca. Quando uma mensagem passa pelo alinhamento DMARC, o cliente recupera este arquivo e o renderiza junto ao nome do remetente.
Requisitos
- Protocolo: Deve ser
https://. URLs HTTP são rejeitadas. - Acessibilidade: A URL deve ser publicamente acessível — sem autenticação, sem redirecionamentos, sem bloqueio geográfico. Servidores de email buscam esta URL a partir de sua própria infraestrutura, não de um navegador.
- Formato do arquivo: O arquivo deve estar em conformidade com SVG Tiny P/S (Portable/Secure), um subconjunto restrito do SVG 1.2 Tiny. Arquivos SVG padrão falharão na validação mesmo que renderizem corretamente em um navegador.
- Header Content-Type: O servidor deve retornar
image/svg+xml. - Tamanho do arquivo: Mantenha o arquivo abaixo de 32 KB. Alguns receptores aplicam limites mais rigorosos.
Principais Restrições do SVG Tiny P/S
O SVG Tiny P/S proíbe os seguintes elementos e atributos comumente encontrados em arquivos SVG padrão:
- Referências externas (
,xlink:hrefapontando para fora do arquivo) - Scripts (
) - Animações (
,) - Incorporação de imagens raster
- Fontes arbitrárias (apenas fontes do sistema, ou texto convertido em paths)
Importante: Um arquivo que é SVG válido, mas não é SVG Tiny P/S válido, causará falha silenciosa na exibição do logo na maioria dos clientes. Sempre valide com um verificador de SVG BIMI dedicado antes de publicar.
Definindo l= como Vazio
A especificação permite l= com um valor vazio (l=;) para explicitamente optar por não exibir BIMI para um domínio enquanto ainda publica um registro. Este é um caso de uso específico utilizado em cenários de supressão de subdomínios.
A Tag a=: Evidência de Autoridade (URL do Certificado)
O Que Ela Faz
A tag a= aponta para um Mark Verifying Certificate (VMC) ou Common Mark Certificate (CMC) em formato PEM. Este certificado vincula criptograficamente seu logo ao seu domínio e é emitido por uma Autoridade Certificadora (CA) credenciada. Os clientes de email receptores buscam este certificado, validam a cadeia e confirmam que o logo incorporado corresponde à URL l= antes de exibir a marca.
Requisitos
- Protocolo: Deve ser
https://. URLs HTTP são rejeitadas. - Acessibilidade: Publicamente acessível sem autenticação ou redirecionamentos.
- Formato: Cadeia de certificados codificada em PEM (
.pem). O arquivo deve incluir a cadeia completa desde o certificado da entidade final até a raiz confiável. - Cadeia de confiança: O certificado deve encadear até uma CA raiz confiável reconhecida pelo provedor de email receptor. Certificados autoassinados não são aceitos.
- Correspondência do hash do logo: O arquivo SVG em
l=deve corresponder ao hash do logo incorporado no certificado. Atualizar seu logo sem reemitir o certificado quebra a exibição. - Validade: O certificado não deve estar expirado ou revogado.
VMC vs CMC
| Tipo de Certificado | Nome Completo | Marca Registrada Necessária | Emitido Por | |---|---|---|---| | VMC | Verified Mark Certificate | Sim — marca registrada obrigatória | DigiCert, Entrust | | CMC | Common Mark Certificate | Não — marca de uso comum aceita | DigiCert, Entrust |
Os CMCs reduzem a barreira de entrada ao remover o requisito de registro de marca, tornando o BIMI com verificação de certificado acessível a um conjunto mais amplo de organizações.
Registros Autodeclarados vs Certificados
Registro Autodeclarado (apenas l=, sem a=)
Um registro autodeclarado contém apenas a tag l=. Nenhum certificado é referenciado.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg;"
Onde funciona:
- Yahoo Mail / AOL Mail: Exibe o logo sem certificado, desde que o DMARC esteja em enforcement.
- Fastmail: Suporta registros autodeclarados.
Onde não funciona:
- Gmail: Requer um VMC ou CMC válido. Registros autodeclarados são ignorados.
- Apple Mail: Requer um VMC ou CMC válido. Registros autodeclarados são ignorados.
- Microsoft Outlook (365): Usa seu próprio sistema adjacente ao BIMI (BIMI não é atualmente suportado nativamente).
Resumo: Um registro autodeclarado é um ponto de partida válido e entrega valor no Yahoo Mail, mas não desbloqueará a exibição do logo no Gmail ou Apple Mail.
Registro VMC (Verified Mark Certificate)
Use esta configuração quando você possui uma marca registrada e obteve um VMC de uma CA credenciada.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg; a=https://bimi.example.com/vmc.pem;"
Suportado por: Gmail, Yahoo Mail, Apple Mail, Fastmail e todos os outros clientes participantes do BIMI.
Registro CMC (Common Mark Certificate)
Use esta configuração quando você obteve um CMC. A sintaxe do registro DNS é idêntica a um registro VMC — a distinção está no próprio certificado, não no registro DNS.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg; a=https://bimi.example.com/cmc.pem;"
Suportado por: Gmail (desde o início do suporte a CMC), Yahoo Mail, Apple Mail, Fastmail.
Nota: Sempre confirme o status atual de suporte a CMC com seus clientes de email alvo, pois os cronogramas de implementação variam por provedor.
Erros de Configuração Comuns
1. URL a= Quebrada Causa Falha Silenciosa
Este é o erro mais prejudicial e