如何获取验证标记证书 (VMC):分步指南
获取 BIMI 邮件认证验证标记证书 (VMC) 的完整分步指南。涵盖 DMARC 执行策略、商标注册、SVG 转换、CA 申请和 DNS 部署。
验证标记证书获取之路
验证标记证书 (VMC) 是由经授权的证书颁发机构 (CA) 签发的数字证书,它通过加密技术将您的注册商标标志与电子邮件发送域名绑定。当与 BIMI DNS 记录正确部署后,它会指示支持该协议的邮箱服务商——包括 Gmail、Yahoo Mail、Apple Mail 和 Fastmail——在收件箱中已认证邮件旁边显示您的品牌标志。
本指南按正确顺序介绍获取和部署 VMC 所需的所有前提条件和操作步骤。
前提条件概览
在开始之前,请确认您满足以下所有条件:
- DMARC 策略设置为
p=reject或p=quarantine(必须达到执行级别) - 您的标志已在至少一个合格司法管辖区注册商标
- 符合 W3C SVG Tiny 1.2 Portable/Secure (P/S) 规范的 SVG 标志文件
- 拥有域名 DNS 管理权限以发布 BIMI 记录
- VMC 预算——证书按年度签发,按域名计费
第 1 步:将 DMARC 策略提升至执行级别
DMARC(基于域的邮件认证、报告和一致性协议)是不可或缺的基础。除非您的域名通过 DMARC 对齐验证,否则 VMC 将不会生效,而且邮箱服务商也不会为未达到执行级别的域名显示 BIMI 标志。
要求
- 必须为发送域名同时配置 SPF 和 DKIM 并实现对齐。
- DMARC 记录必须指定
p=reject或p=quarantine。p=none策略不符合要求。 - DMARC 记录必须发布在组织域名(例如
_dmarc.example.com),而非子域名。
推荐的执行策略升级路径
- 首先发布
p=none的 DMARC 记录,并配置rua和ruf报告地址。 - 收集至少两到四周的汇总报告。
- 识别所有合法邮件流并确保每个都通过 SPF 或 DKIM 对齐。
- 逐步升级策略:
p=none→p=quarantine→p=reject。 - 确认最终记录类似于:
_dmarc.example.com TXT "v=DMARC1; p=reject; rua=mailto:[email protected]"
重要提示:在 DMARC 执行策略稳定之前,请勿进行后续步骤。VMC 签发后发现配置错误的邮件流可能导致合法邮件被拒收。
第 2 步:注册商标
VMC 只能为在签发 CA 认可的司法管辖区内已注册商标的标志签发。这是大多数组织在时间规划上最容易低估的步骤。
合格的司法管辖区(截至 2024 年)
经授权的 CA 目前接受以下机构的商标注册:
| 司法管辖区 | 机构 | |---|---| | 美国 | USPTO | | 欧盟 | EUIPO | | 英国 | UKIPO | | 加拿大 | CIPO | | 澳大利亚 | IP Australia | | 德国 | DPMA | | 法国 | INPI | | 日本 | JPO | | 西班牙 | OEPM | | 瑞士 | IPI | | 印度 | CGPDTM | | 巴西 | INPI-BR | | 韩国 | KIPO | | 英国 | UKIPO |
此列表会定期扩展。在提交申请前,请向您选择的 CA 确认最新列表。
关键注意事项
- 商标必须涵盖您打算在 BIMI 中使用的确切标志。文字商标(纯文本)不符合要求;注册必须是图形商标或设备商标(标志图案)。
- 商标注册状态必须有效——在 VMC 签发时及证书整个有效期内均需保持有效。
- 商标注册时间因司法管辖区而异。仅 USPTO 审查通常就需要 8-12 个月。请提前规划。
- 如果您的标志已经注册,请确认注册号和存档的确切图像——您提交的 SVG 必须与注册商标一致。
第 3 步:将标志转换为 SVG Tiny 1.2 Portable/Secure 格式
对于大多数品牌和设计团队来说,这是技术难度最高的步骤。VMC 规范要求您的标志必须编码为 SVG Tiny 1.2 Portable/Secure (P/S) 文件。从 Adobe Illustrator、Figma 或 Inkscape 导出的标准 SVG 文件在未经修改的情况下无法通过 CA 验证。
什么是 SVG Tiny 1.2 P/S?
SVG Tiny 1.2 是专为受限环境设计的 SVG 规范子集。Portable/Secure 配置文件添加了更多限制,以防止可执行内容、外部资源加载和脚本——这些在邮件渲染环境中都属于安全风险。
必须移除或替换的常见 SVG 元素
| 不允许的元素或功能 | 原因 |
|---|---|
| 标签 | 安全性:可执行代码 |
| 外部 href 引用 | 安全性:远程资源加载 |
| 包含栅格数据的 元素 | Tiny P/S 不允许 |
| CSS 动画 (@keyframes) | 不在 Tiny 1.2 配置文件中 |
| 滤镜和混合模式 | 超出 Tiny 1.2 范围 |
| 非 SVG 命名空间 | 配置文件合规性 |
| foreignObject | 不允许 |
转换要求
- 文件必须声明正确的 SVG Tiny 1.2 命名空间和配置文件:
<svg version="1.2" baseProfile="tiny-ps"
xmlns="http:class="hl-cmt">//www.w3.org/2000/svg" ...>
- 必须包含
元素作为根元素的第一个子元素。 - 文件必须自包含——不能包含外部字体、图像或样式表。
- 画布应为正方形(宽度和高度相等)。大多数邮箱服务商会将标志裁剪或遮罩为圆形或正方形。
- 转换后文件大小应保持在 32 KB 以内。
验证
转换后,在提交给 CA 之前,请根据 SVG Tiny P/S 模式验证文件。提交不合规的文件将导致被拒绝并延迟签发。
免费 SVG 转换工具:makeBIMI.com 可免费将您的标志转换为符合 BIMI 规范的 SVG Tiny 1.2 P/S 文件。上传您现有的标志文件,即可下载可直接提交给 CA 的 SVG。
第 4 步:向经授权的证书颁发机构申请
当您的 DMARC 策略已达到执行级别、商标已注册、SVG 已符合规范后,您就可以向经授权的 CA 申请 VMC。
经授权的证书颁发机构
截至 2024 年,有两家 CA 被授权签发 VMC:
- DigiCert — digicert.com
- Entrust — entrust.com
未来可能会有更多 CA 获得授权。请查阅 BIMI Group 的 CA 列表获取当前授权签发机构。
CA 验证内容
CA 在签发 VMC 之前会执行以下检查:
- 域名控制验证 (DCV):您必须证明对申请 VMC 的域名拥有所有权。
- 商标验证:CA 会根据相关知识产权局数据库验证商标注册。您需要提供注册号和司法管辖区。
- 标志与商标匹配:您提交的 SVG 将与注册商标进行比对。两者必须实质上相同。
- DMARC 执行检查:部分 CA 会验证 DMARC