Technical Reference · 2026 Edition

Gmail 是否要求 VMC 才能使用 BIMI?(2026 年更新)

Last updated min read

Gmail 是否要求 VMC 才能使用 BIMI?(2026 年更新)

管理员在规划 BIMI 部署时最常问的问题是:是否需要加密证书。答案是肯定的。要在 Gmail 或 Apple Mail 中显示您的品牌徽标,您必须获取 Verified Mark Certificate(VMC)或 Common Mark Certificate(CMC)。

本文档记录了各邮箱服务商之间的政策差异,以及主流服务商强制要求基于证书验证的原因 [1]。

BIMI 的两个层级

Brand Indicators for Message Identification(BIMI)协议定义了两个实施层级:

  1. 自声明 BIMI 域名所有者发布一条 DNS 记录,指向一个徽标文件。无第三方验证所有者身份。
  2. 认证 BIMI: 域名所有者发布一条 DNS 记录,同时指向徽标文件和由受认可的证书颁发机构(CA)签发的 .pem 证书。

Yahoo 标准(自声明)

Yahoo Mail 和 AOL 接受自声明层级。当您的域名执行 p=quarantinep=reject 的 DMARC 策略,且徽标符合 W3C SVG Tiny P/S 规范时,您的徽标即可在这些客户端中显示。无需 VMC。

Google 和 Apple 标准(认证)

Gmail、Google Workspace、iOS Mail、macOS Mail 和 iCloud Mail 要求认证层级。这些客户端会拒绝自声明记录。如果您的 BIMI 记录不包含指向有效证书的 a= 标签,这些客户端将忽略该记录,并显示通用的轮廓占位符 [2]。

Gmail 和 Apple 为何要求证书

证书要求解决了 DMARC 保护机制中的一个特定漏洞。

DMARC 验证邮件是否来源于 From 标头中的域名。DMARC 并不验证域名所有者是否拥有显示特定徽标的合法权利。如果没有证书要求,攻击者可以注册 secure-bank-alerts.com,在该域名上执行 DMARC,然后发布一条自声明的 BIMI 记录,指向某家正规银行的徽标。

为防止这种视觉欺骗形式,Google 和 Apple 将身份验证工作委托给经过 WebTrust 审计的证书颁发机构,包括 Entrust 和 GlobalSign。

当您申请 VMC 时,CA 会对您的组织进行公证身份核查,并将您的徽标与官方商标注册数据库进行验证。只有在验证完成后,CA 才会签发证书。

蓝色勾选标记

对于部署了 VMC 的域名,Gmail 会在发件人名称旁边显示经过验证的蓝色勾选标记。该标记向收件人表明,发送基础设施和品牌身份均已通过加密验证。

[!NOTE]
Common Mark Certificate(CMC)可以让您的徽标在 Gmail 中显示,而无需注册商标,但不会激活蓝色勾选标记。

实施路径

要在 Gmail 和 Apple Mail 中显示您的徽标,请完成以下步骤:

  1. 满足技术前提条件。 在您的域名上执行 DMARC,并制作符合 W3C SVG Tiny P/S 规范的徽标文件。如需自动化文件准备,请使用 makeBIMI
  2. 获取证书。 CA 申请流程需要商标文件和合规审核。企业通常会委托 veriBIMI 等服务机构进行基础设施审计、管理商标验证并签发最终证书。

自声明记录适用于测试环境。在 Gmail 和 Apple Mail 的生产部署中,证书是必需的。

参考文献

[1] AuthIndicators Working Group. "BIMI Certificates." BIMI Group, https://bimigroup.org/bimi-certificates/ [2] Google Workspace Admin Help. "Set up BIMI." Google Support, https://support.google.com/a/answer/10911320