Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
BIMI — jak zobrazit logo vaší značky v e-mailech

BIMI — jak zobrazit logo vaší značky v e-mailech

· 7 min čtení · Tomas Hojgr · Zabezpečení e-mailu
BIMI E-mailová autentizace DMARC DNS

Co je BIMI

BIMI (Brand Indicators for Message Identification) je e-mailový standard, který umožňuje zobrazit logo vaší značky přímo v e-mailovém klientu příjemce — vedle jména odesílatele. Místo generické ikony nebo iniciálky uvidí příjemce vaše firemní logo, ještě než e-mail otevře.

BIMI staví na existující e-mailové autentizaci. Funguje jako vizuální vrstva nad SPF, DKIM a DMARC — pokud máte tyto protokoly správně nastavené a vaše DMARC politika je dostatečně přísná, můžete do DNS přidat BIMI záznam s odkazem na logo a certifikát.

Standard je definován v IETF draftu a spravován BIMI Group.

Jak BIMI funguje

  1. Odešlete e-mail z vaší domény (např. firma.cz).
  2. Přijímající server ověří e-mail přes SPF, DKIM a DMARC — všechny kontroly musí projít.
  3. Server zkontroluje, zda doména má DMARC politiku quarantine nebo reject s pct=100.
  4. Server se dotáže DNS na BIMI záznam: default._bimi.firma.cz.
  5. Z BIMI záznamu získá URL loga (SVG soubor) a volitelně URL certifikátu (VMC nebo CMC).
  6. E-mailový klient zobrazí logo příjemci vedle jména odesílatele.

Celý proces je automatický. Příjemce nemusí nic instalovat ani nastavovat — logo se zobrazí v podporovaných e-mailových klientech.

Předpoklady pro nasazení BIMI

Než přidáte BIMI záznam, musíte mít splněné tyto podmínky:

  • Funkční SPF a DKIM — e-maily z vaší domény musí procházet oběma kontrolami.
  • DMARC s politikou quarantine nebo reject — politika p=none nestačí. Parametr pct musí být 100 (výchozí hodnota, pokud není uveden).
  • Logo ve formátu SVG Tiny PS — bezpečnostní varianta formátu SVG, která zabraňuje spuštění skriptů v obrázku. Běžný SVG soubor nestačí, musí splňovat požadavky BIMI na formát.
  • Certifikát VMC nebo CMC (vyžadují Gmail a Apple Mail) — ověřuje, že logo patří vaší organizaci.

BIMI DNS záznam

BIMI záznam je TXT záznam v DNS na subdoméně default._bimi. Kompletní záznam vypadá takto:

default._bimi.firma.cz IN TXT "v=BIMI1; l=https://firma.cz/.well-known/bimi/logo.svg; a=https://firma.cz/.well-known/bimi/vmc.pem;"
Parametr Význam
v=BIMI1 Verze protokolu (povinné)
l= URL loga ve formátu SVG Tiny PS (povinné, HTTPS)
a= URL certifikátu VMC/CMC ve formátu PEM (volitelné, ale vyžadované Gmailem a Apple Mail)

Logo a certifikát musí být dostupné přes HTTPS na veřejně přístupné URL. Doporučené umístění je adresář /.well-known/bimi/ na vaší doméně.

Selektory

Výchozí selektor je default, ale BIMI podporuje i vlastní selektory pro různé části organizace nebo různé značky. Každý selektor má vlastní DNS záznam:

marketing._bimi.firma.cz IN TXT "v=BIMI1; l=https://firma.cz/.well-known/bimi/marketing-logo.svg; a=...;"

Pro většinu organizací stačí výchozí selektor default.

VMC a CMC certifikáty

E-mailoví klienti jako Gmail a Apple Mail vyžadují k zobrazení loga ověřený certifikát. Existují dva typy:

VMC (Verified Mark Certificate)

VMC ověřuje, že logo je registrovaná ochranná známka vaší organizace. Proces získání zahrnuje:

  1. Logo musí být registrovaná ochranná známka u uznávaného úřadu (USPTO, EUIPO, ÚPV ČR a další).
  2. Ověření identity organizace — notářsky ověřené dokumenty a videohovor s certifikační autoritou.
  3. Vydání certifikátu jednou z autorizovaných certifikačních autorit: DigiCert, Sectigo, GlobalSign nebo SSL.com.

VMC v Gmailu zobrazí vedle loga modrou značku ověření (checkmark).

CMC (Common Mark Certificate)

Od září 2024 Google podporuje CMC jako alternativu k VMC. CMC nevyžaduje registrovanou ochrannou známku — stačí, že logo prokazatelně používáte minimálně jeden rok. CMC je cenově dostupnější a proces získání je jednodušší.

CMC v Gmailu zobrazí logo, ale bez modré značky ověření.

Bez certifikátu

Yahoo Mail zobrazí BIMI logo i bez VMC/CMC certifikátu — stačí platný BIMI DNS záznam s URL loga. Gmail a Apple Mail logo bez certifikátu nezobrazí.

Požadavky na logo

Logo pro BIMI musí splňovat přísné technické požadavky:

  • Formát: SVG Tiny 1.2 Portable/Secure (SVG Tiny PS). Běžný SVG nebo rastrový obrázek (PNG, JPG) nestačí.
  • Poměr stran: 1:1 (čtvercové).
  • Pozadí: neprůhledné, jednobarevné (doporučujeme barevné — logo se zobrazuje na různých pozadích).
  • Obsah: logo by mělo být rozpoznatelné i ve velmi malém rozlišení (zobrazuje se jako avatar).
  • Velikost: maximálně 32 kB.

Pro konverzi loga do správného formátu můžete použít nástroje doporučené BIMI Group.

Které e-mailové klienty BIMI podporují

Klient Podpora BIMI Vyžaduje certifikát
Gmail Ano VMC nebo CMC
Apple Mail Ano (iOS 16+, macOS Ventura+) VMC nebo CMC
Yahoo Mail Ano Ne (doporučen)
Fastmail Ano Ne
Outlook / Microsoft 365 Ne

Microsoft zatím BIMI nepodporuje. Příjemci používající Outlook vaše logo neuvidí bez ohledu na konfiguraci.

Postup nasazení BIMI

  1. Ověřte e-mailovou autentizaci — zkontrolujte, že vaše doména má funkční SPF, DKIM a DMARC s politikou quarantine nebo reject.
  2. Připravte logo — vytvořte SVG Tiny PS verzi vašeho loga (čtvercové, neprůhledné pozadí, max 32 kB).
  3. Získejte certifikát — pokud cílíte na Gmail nebo Apple Mail, obstarejte VMC nebo CMC od autorizované certifikační autority (DigiCert, Sectigo, GlobalSign nebo SSL.com).
  4. Nahrajte soubory — umístěte logo (.svg) a certifikát (.pem) na veřejně přístupnou HTTPS URL.
  5. Přidejte DNS záznam — vytvořte TXT záznam na default._bimi.vasedomena.cz: 
    default._bimi.vasedomena.cz IN TXT "v=BIMI1; l=https://vasedomena.cz/.well-known/bimi/logo.svg; a=https://vasedomena.cz/.well-known/bimi/vmc.pem;"
  6. Ověřte konfiguracizkontrolujte BIMI záznam v DNS a otestujte doručení e-mailu do Gmailu.

Proč BIMI nasadit

Důvěryhodnost a rozpoznatelnost

Logo vedle jména odesílatele zvyšuje důvěryhodnost e-mailu. Příjemce na první pohled vidí, že zpráva pochází od ověřeného odesílatele — ne od podvodníka, který se za něj vydává.

Ochrana značky

BIMI motivuje k nasazení přísné DMARC politiky (quarantine nebo reject), která aktivně brání spoofingu a phishingu z vaší domény. Bez přísné DMARC politiky BIMI nefunguje — standard tak nepřímo posiluje celkovou bezpečnost e-mailové komunikace.

Viditelnost v inboxu

V zaplněné schránce vyniká e-mail s logem oproti generickým ikonám. To může zlepšit míru otevření marketingových i transakčních e-mailů.

Praktické otázky k nasazení BIMI

Kolik stojí nasazení BIMI

Samotný BIMI DNS záznam je zdarma. Náklady vznikají u certifikátu — VMC stojí řádově stovky až nízké tisíce USD ročně, CMC je dostupnější. Bez certifikátu funguje BIMI pouze u Yahoo Mail a Fastmail.

Funguje BIMI bez DMARC

Ne. BIMI striktně vyžaduje DMARC s politikou quarantine nebo reject. Pokud nemáte DMARC nasazený, začněte nastavením DMARC záznamu a postupně zpřísněte politiku.

Musím mít registrovanou ochrannou známku

Pro VMC ano. Pro CMC stačí prokazatelné užívání loga minimálně jeden rok. Pro Yahoo Mail a Fastmail certifikát nepotřebujete vůbec.

BIMI jako vrchol e-mailové autentizace

BIMI je poslední vrstva e-mailové autentizace — vizuální potvrzení, že odesílatel prošel všemi kontrolami. Nasazení vyžaduje funkční SPF, DKIM a přísný DMARC, takže samotná cesta k BIMI výrazně zvyšuje zabezpečení vaší domény.

Začněte ověřením stávající konfigurace. Zkontrolujte zabezpečení vaší domény a zjistěte, zda splňujete předpoklady pro nasazení BIMI.

Související články

Co je DMARC a jak funguje
DMARC

Co je DMARC a jak funguje

DMARC propojuje SPF a DKIM a přidává politiku pro neautentizované e-maily. Zjistěte, jak funguje, jak ho nasadit a proč ho vyžadují Google i Yahoo.

· 8 min čtení
Jak nastavit DMARC záznam pro vaši doménu
DMARC

Jak nastavit DMARC záznam pro vaši doménu

Praktický návod na nastavení DMARC záznamu krok za krokem. Od prvního záznamu s p=none přes analýzu reportů až po plnou ochranu s p=reject.

· 10 min čtení
SPF, DKIM a DMARC — kompletní průvodce zabezpečením e-mailu
Zabezpečení e-mailu

SPF, DKIM a DMARC — kompletní průvodce zabezpečením e-mailu

SPF, DKIM a DMARC tvoří tři vrstvy e-mailové autentizace. Zjistěte, jak spolu fungují, v jakém pořadí je nasadit a jakým chybám se vyhnout.

· 13 min čtení