Den definitiva BIMI-implementeringsguiden 2026
Den auktoritativa tekniska referensen för BIMI-implementering. SVG Tiny P/S-specifikation, DMARC-efterlevnadskrav, VMC vs. CMC-certifikatlandskapet, DNS-poststruktur och en komplett implementeringschecklista.
Vad BIMI faktiskt är — och varför det spelar roll
Brand Indicators for Message Identification (BIMI) är den viktigaste förtroendesignalen inom e-post sedan DMARC. Det gör det möjligt för domänägare att visa en kryptografiskt verifierad varumärkeslogotyp bredvid varje meddelande de skickar — i Gmail, Yahoo, Apple Mail och fler.
Detta är inte en kosmetisk funktion. BIMI är det visuella resultatet av en rigorös, flerskiktad autentiseringskedja. Du kan inte förfalska det. Du kan inte köpa dig förbi de underliggande säkerhetskraven. Det är just detta som gör logotypen meningsfull: den är ett bevis på utfört arbete.
BIMI formaliserades som RFC 9091 av IETF i juli 2021, under ledning av AuthIndicators Working Group — en koalition bestående av Gmail, Yahoo, Apple, Fastmail och Cloudmark. Samtliga stora e-postleverantörer har förbundit sig till denna standard.
BIMI är den visuella belöningen för strikt domänsäkerhet. Om du inte har implementerat DMARC kommer din logotyp inte att visas — oavsett hur perfekt din SVG är.
SVG Tiny P/S-standarden — varför den är så restriktiv
BIMI accepterar inte en vanlig SVG-fil. Det kräver SVG Tiny P/S (Portable/Secure) — en medvetet restriktiv XML-profil definierad specifikt för e-postrenderingsmiljöer.
E-postklienter renderar BIMI-logotyper i en sandlådemiljö tillsammans med opålitligt innehåll från miljontals avsändare. En vanlig SVG är ett kraftfullt format som kan exekvera skript, ladda externa resurser och bädda in godtycklig binärdata. I en e-postkontext utgör dessa attackvektorer.
W3C:s SVG Tiny P/S-profil eliminerar dessa vektorer genom att uttryckligen förbjuda:
-element ochon*-händelsehanterare — förhindrar skadlig kodinjektion via e-postklienter-taggar och inbäddad bitmapdata — förhindrar spårningspixlar och inbäddning av rasterdata. Detta förbud är absolut.- Relativa dimensioner (
width="100%") — förhindrar layoutattacker - CSS
@import-regler och externa stilmallar — förhindrar CSS-baserade sidokanalattacker - Animationer — förhindrar distraktion och tidsbaserade attacker
Obligatoriska strukturella krav
- Rot-
måste deklareraversion="1.2"ochbaseProfile="tiny-ps" - Kvadratisk
viewBox(1:1 bildförhållande) krävs - Solid, helt ogenomskinlig bakgrunds-
som täcker hela canvasen -element krävs- Giltig, välformad XML
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Pure vector paths only -->
</svg>
makeBIMI:s självläkande motor tillämpar alla krav automatiskt. För rasteruppladdningar (PNG, JPG) körs en äkta vektoriseringspipeline — Sharp-förbehandling följt av Potrace-spårning — som producerar rena -element utan några inbäddade pixlar.
DMARC-förutsättningen — den icke-förhandlingsbara grunden
Innan någon e-postleverantör honorerar din BIMI-post måste din domän ha en fullt verkställande DMARC-policy.
p=none— Endast övervakning. BIMI kommer inte att renderas.p=quarantine— Misslyckade meddelanden skickas till skräppost. BIMI kan renderas.p=reject— Misslyckade meddelanden avvisas. BIMI kommer att renderas. Krävs av Gmail för VMC-stödd visning.
<h1 id="correct-dmarc-record-for-bimi-eligibility" class="md-h1">Correct DMARC record for BIMI eligibility</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
Använd Domängranskningsverktyget för att verifiera din DMARC-status omedelbart.
Certifikatlandskapet — VMC vs. CMC 2026
Verified Mark Certificate (VMC)
Utfärdat av Entrust eller DigiCert mot ett registrerat varumärke. Möjliggör den officiella Gmail-blåbocken. Krävs för Gmail-visning. Rätt val för: företag, börsnoterade bolag, varumärken med befintliga varumärkesregistreringar.
Common Mark Certificate (CMC)
Inget varumärke krävs. Verifierar domänägarskap och logotypassociation. Accepteras av Yahoo Mail, Apple Mail och Fastmail. Rätt val för: startups, små och medelstora företag, kreatörer och alla varumärken som bygger mot en VMC.
Sammanfattningsvis: om Gmail är ditt primära mål behöver du en VMC. Börja med en CMC om du vill ha bred täckning medan du bygger mot den.
DNS-posten
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— versionstaggl=— Logotyp-URI: offentligt tillgänglig HTTPS-URL till din SVG Tiny P/S-fila=— Auktoritetsevidensplats: HTTPS-URL till din VMC- eller CMC-certifikat-PEM-fil
Hosting- och infrastrukturkrav
- Giltigt TLS-certifikat (inga självsignerade)
- HTTP
200 OKmedContent-Type: image/svg+xml - Ingen autentisering på SVG-URL:en
- CDN-hosting rekommenderas starkt
- Filstorlek under 32 KB
Implementeringschecklista
- SPF-post publicerad och godkänd för alla auktoriserade avsändar-IP:n
- DKIM-signering aktiverad med
d=-tagg justerad mot From-domänen - DMARC-policy på
p=quarantineellerp=rejectmedpct=100 - SVG Tiny P/S-fil skapad, validerad och hostad över HTTPS
- VMC- eller CMC-certifikat erhållet och hostat över HTTPS
- BIMI DNS TXT-post publicerad på
default._bimi.dindomän.com - Post verifierad med Domängranskningsverktyget
- End-to-end testmail skickat till Gmail eller Yahoo för att bekräfta logotypvisning