2026 年 BIMI 实施权威指南
BIMI 实施的权威技术参考。SVG Tiny P/S 规范、DMARC 强制执行要求、VMC 与 CMC 证书格局、DNS 记录结构,以及完整的实施检查清单。
BIMI 的本质及其重要性
Brand Indicators for Message Identification (BIMI) 是自 DMARC 以来电子邮件领域最重要的信任信号。它允许域名所有者在发送的每封邮件旁边显示经过加密验证的品牌标识——无论是在 Gmail、Yahoo、Apple Mail 还是其他邮件客户端中。
这不是一个装饰性功能。BIMI 是严格的多层身份验证链的可视化输出。它无法伪造,也无法通过任何方式绕过底层安全要求。正是这一点赋予了标识其意义:它是工作量的证明。
BIMI 于 2021 年 7 月由 IETF 正式确立为 RFC 9091,由 AuthIndicators Working Group 负责管理——该工作组由 Gmail、Yahoo、Apple、Fastmail 和 Cloudmark 共同组成。每个主流邮件服务商都已承诺支持这一标准。
BIMI 是严格域名安全的视觉回报。如果你尚未强制执行 DMARC,无论你的 SVG 多么完美,标识都不会显示。
SVG Tiny P/S 标准——为何如此严格
BIMI 不接受标准 SVG 文件。它要求使用 SVG Tiny P/S(Portable/Secure)——这是专为电子邮件渲染环境定义的、刻意限制严格的 XML 配置文件。
邮件客户端在沙盒环境中渲染 BIMI 标识,与来自数百万发件人的不可信内容共处。标准 SVG 是一种功能强大的格式,能够执行脚本、加载外部资源以及嵌入任意二进制数据。在电子邮件环境中,这些都是攻击向量。
W3C SVG Tiny P/S 配置文件通过明确禁止以下内容来消除这些威胁:
元素和on*事件处理器 — 防止通过邮件客户端注入恶意代码标签和嵌入式位图数据 — 防止跟踪像素和光栅数据嵌入。此禁令是绝对的。- 相对尺寸(
width="100%") — 防止布局攻击 - CSS
@import规则和外部样式表 — 防止基于 CSS 的侧信道攻击 - 动画 — 防止干扰和基于时序的攻击
强制结构要求
- 根
必须声明version="1.2"和baseProfile="tiny-ps" - 必须使用正方形
viewBox(1:1 宽高比) - 必须有覆盖整个画布的纯色、完全不透明的背景
- 必须包含
元素 - 必须是有效的、格式良好的 XML
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Pure vector paths only -->
</svg>
makeBIMI 的自修复引擎会自动执行所有要求。对于光栅图像上传(PNG、JPG),它会运行真正的矢量化流程——先进行 Sharp 预处理,再进行 Potrace 追踪——生成纯 元素,完全不含嵌入像素。
DMARC 先决条件——不可妥协的基础
在任何邮件服务商认可你的 BIMI 记录之前,你的域名必须拥有完全强制执行的 DMARC 策略。
p=none— 仅监控。BIMI 不会渲染。p=quarantine— 验证失败的邮件被送入垃圾邮件。BIMI 可能会渲染。p=reject— 验证失败的邮件被拒绝。BIMI 会渲染。 Gmail 要求使用 VMC 支持的显示时必须采用此策略。
<h1 id="correct-dmarc-record-for-bimi-eligibility" class="md-h1">Correct DMARC record for BIMI eligibility</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
使用域名审计工具即时验证你的 DMARC 配置状态。
证书格局——2026 年 VMC 与 CMC 对比
Verified Mark Certificate (VMC)
由 Entrust 或 DigiCert 基于注册商标颁发。可启用官方 Gmail 蓝色认证勾标。Gmail 显示必需。适用于:企业、上市公司、拥有现有商标注册的品牌。
Common Mark Certificate (CMC)
无需商标。验证域名所有权和标识关联性。被 Yahoo Mail、Apple Mail 和 Fastmail 接受。适用于:初创公司、中小企业、创作者,以及任何正在向 VMC 过渡的品牌。
结论: 如果 Gmail 是你的主要目标,你需要 VMC。如果你想要广泛覆盖并同时为获取 VMC 做准备,可以先从 CMC 开始。
DNS 记录
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— 版本标签l=— 标识 URI:指向你的 SVG Tiny P/S 文件的可公开访问的 HTTPS URLa=— 权威证据位置:指向你的 VMC 或 CMC 证书 PEM 文件的 HTTPS URL
托管与基础设施要求
- 有效的 TLS 证书(不接受自签名证书)
- HTTP
200 OK响应,Content-Type: image/svg+xml - SVG URL 无需身份验证
- 强烈建议使用 CDN 托管
- 文件大小控制在 32 KB 以内
实施检查清单
- SPF 记录已发布,所有授权发送 IP 验证通过
- DKIM 签名已启用,
d=标签与发件人域名对齐 - DMARC 策略设置为
p=quarantine或p=reject,且pct=100 - SVG Tiny P/S 文件已创建、验证,并通过 HTTPS 托管
- VMC 或 CMC 证书已获取并通过 HTTPS 托管
- BIMI DNS TXT 记录已发布在
default._bimi.yourdomain.com - 使用域名审计工具验证记录
- 已向 Gmail 或 Yahoo 发送端到端测试邮件以确认标识显示