Technical Reference · 2026 Edition

O Gmail exige VMC para BIMI? (Atualização 2026)

Last updated min read

O Gmail exige VMC para BIMI? (Atualização 2026)

A pergunta mais comum que administradores fazem ao planejar uma implementação de BIMI é se um certificado criptográfico é necessário. Sim. Para exibir seu logotipo no Gmail ou Apple Mail, você deve obter um Verified Mark Certificate (VMC) ou um Common Mark Certificate (CMC).

Este artigo documenta as diferenças de política entre provedores de caixa de correio e os motivos pelos quais os maiores provedores exigem verificação baseada em certificado [1].

Os dois níveis do BIMI

O protocolo Brand Indicators for Message Identification (BIMI) define dois níveis de implementação:

  1. BIMI autodeclarado: O proprietário do domínio publica um registro DNS que referencia um arquivo de logotipo. Nenhum terceiro verifica a identidade do proprietário.
  2. BIMI certificado: O proprietário do domínio publica um registro DNS que referencia tanto um arquivo de logotipo quanto um certificado .pem emitido por uma Autoridade Certificadora (CA) reconhecida.

Padrão Yahoo (autodeclarado)

Yahoo Mail e AOL aceitam o nível autodeclarado. Seu logotipo é exibido nesses clientes quando seu domínio aplica DMARC com p=quarantine ou p=reject e seu logotipo está em conformidade com a especificação W3C SVG Tiny P/S. VMC não é necessário.

Padrão Google e Apple (certificado)

Gmail, Google Workspace, iOS Mail, macOS Mail e iCloud Mail exigem o nível certificado. Esses clientes rejeitam registros autodeclarados. Se seu registro BIMI não incluir uma tag a= que referencie um certificado válido, esses clientes ignoram o registro e exibem um placeholder genérico de silhueta [2].

Por que Gmail e Apple exigem certificados

A exigência de certificado aborda uma lacuna específica nas proteções do DMARC.

O DMARC verifica que uma mensagem originou do domínio no cabeçalho From. O DMARC não verifica se o proprietário do domínio tem o direito legal de exibir determinado logotipo. Sem a exigência de certificado, um atacante poderia registrar alertas-banco-seguro.com, aplicar DMARC nele e publicar um registro BIMI autodeclarado que referencia o logotipo legítimo de um banco.

Para prevenir essa forma de falsificação visual, Google e Apple delegam a verificação de identidade a Autoridades Certificadoras auditadas pelo WebTrust, incluindo Entrust e GlobalSign.

Quando você solicita um VMC, a CA realiza uma verificação de identidade notarizada da sua organização e valida seu logotipo em registros oficiais de marcas comerciais. A CA emite o certificado somente após a conclusão dessa verificação.

A marca de verificação azul

O Gmail exibe uma marca de verificação azul verificada ao lado do nome do remetente para domínios que implementam VMC. A marca de verificação sinaliza ao destinatário que tanto a infraestrutura de envio quanto a identidade da marca foram verificadas criptograficamente.

[!NOTE]
Um Common Mark Certificate (CMC) exibe seu logotipo no Gmail sem exigir uma marca comercial registrada, mas não ativa a marca de verificação azul.

Caminho de implementação

Para exibir seu logotipo no Gmail e Apple Mail, complete as seguintes etapas:

  1. Atenda aos pré-requisitos técnicos. Aplique DMARC no seu domínio e produza um arquivo de logotipo em conformidade com a especificação W3C SVG Tiny P/S. Para automatizar a preparação do arquivo, use makeBIMI.
  2. Obtenha um certificado. O processo de solicitação junto à CA requer documentação de marca comercial e revisão de conformidade. Empresas geralmente contratam uma consultoria como a veriBIMI para auditar a infraestrutura, gerenciar a verificação de marca comercial e emitir o certificado final.

Um registro autodeclarado é adequado para testes. Implementações em produção no Gmail e Apple Mail exigem um certificado.

Referências

[1] AuthIndicators Working Group. "BIMI Certificates." BIMI Group, https://bimigroup.org/bimi-certificates/ [2] Google Workspace Admin Help. "Set up BIMI." Google Support, https://support.google.com/a/answer/10911320