O Guia Definitivo de Implementação BIMI 2026
A referência técnica definitiva para implementação BIMI. Especificação SVG Tiny P/S, requisitos de aplicação DMARC, panorama de certificados VMC vs. CMC, estrutura de registros DNS e checklist completo de implementação.
O Que BIMI Realmente É — E Por Que Importa
Brand Indicators for Message Identification (BIMI) é o sinal de confiança mais significativo em e-mail desde o próprio DMARC. Ele permite que proprietários de domínio exibam um logotipo de marca verificado criptograficamente ao lado de cada mensagem enviada — no Gmail, Yahoo, Apple Mail e além.
Isto não é um recurso cosmético. BIMI é a saída visual de uma cadeia de autenticação rigorosa e multicamada. Você não pode falsificá-lo. Você não pode comprar um atalho para contornar os requisitos de segurança subjacentes. É precisamente isso que torna o logotipo significativo: é uma prova de trabalho.
BIMI foi formalizado como RFC 9091 pela IETF em julho de 2021, governado pelo AuthIndicators Working Group — uma coalizão de Gmail, Yahoo, Apple, Fastmail e Cloudmark. Todos os principais provedores de caixa de entrada se comprometeram com este padrão.
BIMI é a recompensa visual por uma segurança de domínio rigorosa. Se você não aplicou DMARC, seu logotipo não aparecerá — independentemente de quão perfeito seu SVG seja.
O Padrão SVG Tiny P/S — Por Que É Tão Restritivo
BIMI não aceita um arquivo SVG padrão. Ele requer SVG Tiny P/S (Portable/Secure) — um perfil XML deliberadamente restritivo definido especificamente para ambientes de renderização de e-mail.
Clientes de e-mail renderizam logotipos BIMI em um contexto isolado (sandboxed) junto com conteúdo não confiável de milhões de remetentes. Um SVG padrão é um formato poderoso capaz de executar scripts, carregar recursos externos e incorporar dados binários arbitrários. Em um contexto de e-mail, estes são vetores de ataque.
O perfil SVG Tiny P/S do W3C elimina esses vetores proibindo explicitamente:
- Elementos
e manipuladores de eventoson*— previne injeção de código malicioso via clientes de e-mail - Tags
e dados bitmap incorporados — previne pixels de rastreamento e incorporação de dados raster. Esta proibição é absoluta. - Dimensões relativas (
width="100%") — previne ataques de layout - Regras CSS
@importe folhas de estilo externas — previne ataques de canal lateral baseados em CSS - Animações — previne distração e ataques baseados em temporização
Requisitos Estruturais Obrigatórios
- O elemento raiz
deve declararversion="1.2"ebaseProfile="tiny-ps" - viewBox quadrado (proporção 1:1) obrigatório
de fundo sólido, totalmente opaco, cobrindo toda a tela- Elemento
obrigatório - XML válido e bem formado
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Pure vector paths only -->
</svg>
O motor de autocorreção do makeBIMI aplica todos os requisitos automaticamente. Para uploads raster (PNG, JPG), ele executa um pipeline de vetorização real — pré-processamento Sharp seguido de traçado Potrace — produzindo elementos puros com zero pixels incorporados.
O Pré-requisito DMARC — A Base Inegociável
Antes que qualquer provedor de e-mail honre seu registro BIMI, seu domínio deve ter uma política DMARC totalmente aplicada.
p=none— Apenas monitoramento. BIMI não será renderizado.p=quarantine— Mensagens que falham enviadas para spam. BIMI pode ser renderizado.p=reject— Mensagens que falham são rejeitadas. BIMI será renderizado. Obrigatório pelo Gmail para exibição com VMC.
<h1 id="correct-dmarc-record-for-bimi-eligibility" class="md-h1">Correct DMARC record for BIMI eligibility</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
Use a ferramenta de Auditoria de Domínio para verificar sua postura DMARC instantaneamente.
O Panorama de Certificados — VMC vs. CMC em 2026
Verified Mark Certificate (VMC)
Emitido por Entrust ou DigiCert contra uma marca registrada. Habilita o selo azul oficial do Gmail. Obrigatório para exibição no Gmail. Escolha certa para: empresas, companhias de capital aberto, marcas com registros de marca existentes.
Common Mark Certificate (CMC)
Não requer marca registrada. Verifica propriedade do domínio e associação do logotipo. Aceito pelo Yahoo Mail, Apple Mail e Fastmail. Escolha certa para: startups, PMEs, criadores de conteúdo e qualquer marca construindo caminho para um VMC.
Resumindo: se o Gmail é seu alvo principal, você precisa de um VMC. Comece com um CMC se você quer cobertura ampla enquanto constrói o caminho até lá.
O Registro DNS
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— tag de versãol=— URI do logotipo: URL HTTPS publicamente acessível para seu arquivo SVG Tiny P/Sa=— Localização de Evidência de Autoridade: URL HTTPS para seu arquivo PEM de certificado VMC ou CMC
Requisitos de Hospedagem e Infraestrutura
- Certificado TLS válido (não autoassinado)
- HTTP
200 OKcomContent-Type: image/svg+xml - Sem autenticação na URL do SVG
- Hospedagem em CDN fortemente recomendada
- Tamanho do arquivo abaixo de 32 KB
Checklist de Implementação
- Registro SPF publicado e passando para todos os IPs de envio autorizados
- Assinatura DKIM habilitada com tag
d=alinhada ao domínio do From - Política DMARC em
p=quarantineoup=rejectcompct=100 - Arquivo SVG Tiny P/S criado, validado e hospedado via HTTPS
- Certificado VMC ou CMC obtido e hospedado via HTTPS
- Registro DNS TXT BIMI publicado em
default._bimi.seudominio.com - Registro verificado usando a ferramenta de Auditoria de Domínio
- E-mail de teste ponta a ponta enviado para Gmail ou Yahoo para confirmar exibição do logotipo