Gmail 是否要求 VMC 才能使用 BIMI?(2026 年更新)
Gmail 是否要求 VMC 才能使用 BIMI?(2026 年更新)
管理员在规划 BIMI 部署时最常问的问题是:是否需要加密证书。答案是肯定的。要在 Gmail 或 Apple Mail 中显示您的品牌徽标,您必须获取 Verified Mark Certificate(VMC)或 Common Mark Certificate(CMC)。
本文档记录了各邮箱服务商之间的政策差异,以及主流服务商强制要求基于证书验证的原因 [1]。
BIMI 的两个层级
Brand Indicators for Message Identification(BIMI)协议定义了两个实施层级:
- 自声明 BIMI: 域名所有者发布一条 DNS 记录,指向一个徽标文件。无第三方验证所有者身份。
- 认证 BIMI: 域名所有者发布一条 DNS 记录,同时指向徽标文件和由受认可的证书颁发机构(CA)签发的
.pem证书。
Yahoo 标准(自声明)
Yahoo Mail 和 AOL 接受自声明层级。当您的域名执行 p=quarantine 或 p=reject 的 DMARC 策略,且徽标符合 W3C SVG Tiny P/S 规范时,您的徽标即可在这些客户端中显示。无需 VMC。
Google 和 Apple 标准(认证)
Gmail、Google Workspace、iOS Mail、macOS Mail 和 iCloud Mail 要求认证层级。这些客户端会拒绝自声明记录。如果您的 BIMI 记录不包含指向有效证书的 a= 标签,这些客户端将忽略该记录,并显示通用的轮廓占位符 [2]。
Gmail 和 Apple 为何要求证书
证书要求解决了 DMARC 保护机制中的一个特定漏洞。
DMARC 验证邮件是否来源于 From 标头中的域名。DMARC 并不验证域名所有者是否拥有显示特定徽标的合法权利。如果没有证书要求,攻击者可以注册 secure-bank-alerts.com,在该域名上执行 DMARC,然后发布一条自声明的 BIMI 记录,指向某家正规银行的徽标。
为防止这种视觉欺骗形式,Google 和 Apple 将身份验证工作委托给经过 WebTrust 审计的证书颁发机构,包括 Entrust 和 GlobalSign。
当您申请 VMC 时,CA 会对您的组织进行公证身份核查,并将您的徽标与官方商标注册数据库进行验证。只有在验证完成后,CA 才会签发证书。
蓝色勾选标记
对于部署了 VMC 的域名,Gmail 会在发件人名称旁边显示经过验证的蓝色勾选标记。该标记向收件人表明,发送基础设施和品牌身份均已通过加密验证。
[!NOTE]
Common Mark Certificate(CMC)可以让您的徽标在 Gmail 中显示,而无需注册商标,但不会激活蓝色勾选标记。
实施路径
要在 Gmail 和 Apple Mail 中显示您的徽标,请完成以下步骤:
- 满足技术前提条件。 在您的域名上执行 DMARC,并制作符合 W3C SVG Tiny P/S 规范的徽标文件。如需自动化文件准备,请使用 makeBIMI。
- 获取证书。 CA 申请流程需要商标文件和合规审核。企业通常会委托 veriBIMI 等服务机构进行基础设施审计、管理商标验证并签发最终证书。
自声明记录适用于测试环境。在 Gmail 和 Apple Mail 的生产部署中,证书是必需的。
参考文献
[1] AuthIndicators Working Group. "BIMI Certificates." BIMI Group, https://bimigroup.org/bimi-certificates/ [2] Google Workspace Admin Help. "Set up BIMI." Google Support, https://support.google.com/a/answer/10911320