Wyobraź sobie, że Twój e-mail ląduje w skrzynce klienta i zanim jeszcze go otworzy, widzi kolorowe logo Twojej firmy obok nadawcy. Nie szary inicjał, nie generyczna ikona — Twój brand. Właśnie to daje BIMI (Brand Indicators for Message Identification). W tym poradniku znajdziesz kompletną instrukcję wdrożenia: od wymagań wstępnych, przez konfigurację DNS, aż po opcjonalny certyfikat VMC — bez zbędnego lania wody.
Czym jest BIMI i dlaczego warto je wdrożyć?
Brand Indicators for Message Identification to otwarty standard e-mailowy, który pozwala nadawcy dołączyć do wiadomości zweryfikowane logo marki. Obsługujące go klienty pocztowe (Gmail, Apple Mail, Yahoo Mail, Fastmail) wyświetlają je bezpośrednio na liście wiadomości — obok nazwy nadawcy.
Standard powstał z inicjatywy grupy roboczej AuthIndicators Working Group i jest ściśle powiązany z uwierzytelnianiem poczty. Nie możesz wdrożyć BIMI bez wcześniejszego poprawnego skonfigurowania SPF, DKIM i DMARC — to celowy mechanizm bezpieczeństwa, który sprawia, że logo widzą tylko odbiorcy wiadomości od prawdziwego właściciela domeny.
Realne korzyści dla nadawcy
- Wzrost rozpoznawalności marki — logo widoczne jeszcze przed otwarciem maila.
- Wyższy open rate — badania Entrust (2023) wskazują, że e-maile z widocznym logo marki są otwierane nawet o 21% częściej.
- Sygnał zaufania — odbiorcy kojarzą widoczne logo z wiarygodnym nadawcą, co ogranicza skuteczność phishingu podszywającego się pod Twoją firmę.
- Lepsza dostarczalność — wdrożenie DMARC na poziomie
rejectlubquarantine(wymagane przez BIMI) samo w sobie poprawia reputację domeny.
Wymagania wstępne — co musisz mieć przed wdrożeniem BIMI
BIMI nie działa w próżni. Zanim dodasz rekord DNS, upewnij się, że spełniasz wszystkie poniższe warunki. Brak któregokolwiek z nich sprawi, że logo po prostu się nie pojawi.
| Wymaganie | Minimalny poziom | Uwagi |
|---|---|---|
| SPF | Poprawny rekord v=spf1 |
Musi obejmować wszystkie serwery wysyłające pocztę |
| DKIM | Podpis 1024-bit (zalecane 2048-bit) | Każda wiadomość musi być podpisana |
| DMARC | p=quarantine lub p=reject |
p=none nie wystarczy — BIMI wymaga egzekwowania polityki |
| Logo SVG | Format SVG Tiny PS | Plik dostępny publicznie przez HTTPS |
| Certyfikat VMC | Opcjonalny (wymagany przez Gmail) | Wydawany przez Entrust lub DigiCert |
Krok 1 — Skonfiguruj i zweryfikuj DMARC na poziomie egzekwowania
DMARC (Domain-based Message Authentication, Reporting and Conformance) to fundament całego systemu. Jeśli masz już rekord p=none, musisz go zaostrzyć — BIMI wymaga co najmniej p=quarantine. Zmianę przeprowadzaj stopniowo, żeby nie zablokować legalnej poczty.
Przykładowy rekord DMARC gotowy pod BIMI
v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojadomena.pl; ruf=mailto:dmarc-forensic@twojadomena.pl; pct=100; adkim=s; aspf=s;
Parametr adkim=s (strict) oznacza, że domena w nagłówku From: musi dokładnie zgadzać się z domeną podpisu DKIM. Parametr aspf=s stosuje ten sam rygor do SPF. Przed ustawieniem pct=100 warto przez 2–4 tygodnie monitorować raporty DMARC przy pct=10 lub pct=25, żeby wyłapać niespodziewane źródła wysyłki.
Krok 2 — Przygotuj plik logo w formacie SVG Tiny PS
BIMI nie akceptuje dowolnego pliku SVG. Standard wymaga profilu SVG Tiny Portable/Secure (SVG Tiny PS) — uproszczonego podzbioru SVG 1.2, który eliminuje potencjalnie niebezpieczne elementy (skrypty, zewnętrzne zasoby, animacje).
Wymagania techniczne pliku SVG
- Profil:
SVG Tiny 1.2z deklaracjąbaseProfile="tiny-ps". - Kształt: kwadrat (viewBox z równymi wymiarami, np.
0 0 100 100). - Tło: jednolity kolor wypełniający cały obszar (przezroczyste tło jest niedozwolone).
- Rozmiar pliku: maksymalnie 32 KB (niektórzy klienci pocztowi stosują limit 20 KB).
- Brak elementów:
<script>,<image>z zewnętrznych URL, animacji CSS/SMIL. - Plik musi być dostępny przez HTTPS pod stałym, publicznym adresem URL.
Walidację pliku możesz przeprowadzić narzędziem BIMI Group SVG Validator (dostępnym na stronie bimigroup.org) lub wtyczkami do popularnych edytorów wektorowych. Najczęstszy błąd to eksport "zwykłego" SVG z Illustratora bez przełączenia profilu na Tiny PS.
Gdzie hostować plik SVG?
Plik umieść na własnym serwerze lub CDN pod adresem dostępnym bez uwierzytelnienia, np. https://twojadomena.pl/bimi/logo.svg. Serwer musi zwracać nagłówek Content-Type: image/svg+xml i obsługiwać HTTPS z ważnym certyfikatem TLS.
Krok 3 — Dodaj rekord DNS BIMI
Rekord BIMI to rekord TXT w DNS, dodawany w subdomenie default._bimi.twojadomena.pl. Nazwa default odnosi się do domyślnego selektora — możesz mieć wiele selektorów dla różnych kampanii, ale default jest używany, gdy w nagłówku maila nie wskazano innego.
Składnia rekordu BIMI
v=BIMI1; l=https://twojadomena.pl/bimi/logo.svg; a=https://twojadomena.pl/bimi/certyfikat.pem;
v=BIMI1— wersja standardu (jedyna dostępna).l=— URL pliku SVG z logo (pole obowiązkowe; jeśli chcesz tymczasowo wyłączyć BIMI, zostaw puste:l=;).a=— URL certyfikatu VMC w formacie PEM (opcjonalne, ale wymagane przez Gmail do wyświetlenia logo).
Po dodaniu rekordu propagacja DNS trwa zazwyczaj od kilku minut do 48 godzin. Weryfikację możesz przeprowadzić poleceniem dig TXT default._bimi.twojadomena.pl lub dowolnym narzędziem online do sprawdzania rekordów DNS.
Krok 4 — Certyfikat VMC (Verified Mark Certificate)
VMC (Verified Mark Certificate) to certyfikat cyfrowy potwierdzający, że logo należy do zarejestrowanego znaku towarowego i że jego właścicielem jest podmiot kontrolujący daną domenę. Bez VMC Gmail nie wyświetli logo — inne klienty pocztowe (Yahoo, Apple Mail) mogą pokazać je bez certyfikatu, ale tylko wtedy, gdy DMARC jest poprawnie skonfigurowany.
Jak uzyskać certyfikat VMC?
- Zarejestruj znak towarowy — VMC wymaga aktywnej rejestracji w uznanym urzędzie (w Polsce: Urząd Patentowy RP, w UE: EUIPO). Proces rejestracji trwa od kilku miesięcy do ponad roku, więc zacznij wcześnie.
- Wybierz urząd certyfikacji — aktualnie VMC wydają dwie firmy: Entrust i DigiCert. Cena certyfikatu to ok. 1 000–1 500 USD rocznie.
- Złóż wniosek — dostarczasz numer rejestracji znaku towarowego, plik SVG Tiny PS (urząd weryfikuje jego zgodność ze standardem) i dokumenty potwierdzające własność domeny.
- Zainstaluj certyfikat — otrzymany plik PEM umieszczasz pod adresem URL podanym w polu
a=rekordu BIMI.
Jeśli Twoja marka nie ma jeszcze zarejestrowanego znaku towarowego, możesz wdrożyć BIMI bez VMC — logo pojawi się u części dostawców (Yahoo, Apple Mail, Fastmail), ale nie w Gmailu, który ma największy udział w rynku w Polsce.
Krok 5 — Weryfikacja i monitorowanie
Po wdrożeniu wszystkich elementów wyślij testową wiadomość na konto Gmail, Yahoo i Apple Mail. Logo powinno pojawić się w ciągu kilku godzin od poprawnej propagacji DNS. Jeśli go nie widzisz, sprawdź kolejno:
- Czy rekord DMARC ma
p=quarantinelubp=reject? - Czy plik SVG jest dostępny przez HTTPS i waliduje się jako SVG Tiny PS?
- Czy rekord DNS
default._bimijest poprawnie opublikowany? - Czy certyfikat VMC jest aktualny i dostępny pod podanym URL?
- Czy wiadomość testowa przeszła wyrównanie DMARC (alignment) — sprawdź nagłówki
Authentication-Results?
Narzędzia do weryfikacji BIMI
- BIMI Inspector (bimigroup.org) — sprawdza rekord DNS, plik SVG i certyfikat VMC.
- MXToolbox BIMI Lookup — szybka weryfikacja rekordu TXT.
- Google Postmaster Tools — monitorowanie reputacji domeny i dostarczalności do Gmaila.
- Nagłówki wiadomości (
Authentication-Results,BIMI-Indicator) — dostępne w każdym kliencie pocztowym w widoku "Pokaż oryginał".
BIMI a bezpieczeństwo i RODO — co warto wiedzieć
BIMI samo w sobie nie przetwarza danych osobowych odbiorców, więc nie generuje nowych obowiązków wynikających z RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679). Jednak wdrożenie DMARC na poziomie reject — wymagane przez BIMI — ma istotny wpływ na bezpieczeństwo: skutecznie blokuje spoofing domeny, czyli jeden z najczęstszych wektorów ataków phishingowych.
Z perspektywy dyrektywy NIS2 (implementowanej w Polsce ustawą o krajowym systemie cyberbezpieczeństwa), podmioty kluczowe i ważne powinny wdrażać techniczne środki ochrony komunikacji elektronicznej. Poprawna konfiguracja SPF + DKIM + DMARC + BIMI wpisuje się w ten wymóg i może być elementem dokumentacji środków bezpieczeństwa organizacji.
Typowe błędy przy wdrożeniu BIMI
- DMARC na
p=none— najczęstszy błąd; BIMI po prostu nie zadziała. - Nieprawidłowy format SVG — eksport bez profilu Tiny PS, przezroczyste tło, zbyt duży plik.
- Plik SVG niedostępny przez HTTPS — błąd 404 lub brak ważnego certyfikatu TLS na serwerze.
- Brak wyrównania DMARC (alignment) — domena w
From:nie zgadza się z domeną SPF/DKIM. - Oczekiwanie natychmiastowego efektu — Gmail wymaga czasu na budowanie reputacji domeny; nowe domeny mogą czekać tygodniami.
- Nieaktualny certyfikat VMC — VMC ma roczny termin ważności; jego wygaśnięcie powoduje zniknięcie logo.
Podsumowanie — czy warto wdrożyć BIMI?
BIMI to inwestycja, która zwraca się na kilku poziomach jednocześnie: buduje rozpoznawalność marki, zwiększa zaufanie odbiorców i wymusza dobre praktyki bezpieczeństwa poczty. Jeśli wysyłasz regularne kampanie e-mailowe lub transakcyjne, a Twoja domena nie ma jeszcze DMARC na poziomie egzekwowania — zacznij właśnie od tego. Resztę kroków możesz wdrażać etapami.
Jeśli korzystasz z MailerPRO do wysyłki przez własne serwery SMTP, upewnij się, że każda skrzynka nadawcza ma poprawnie skonfigurowany DKIM — to warunek konieczny, bez którego ani DMARC, ani BIMI nie zadziałają. Kompletna konfiguracja uwierzytelniania to nie tylko wymóg standardu, ale też realny sposób na lepszą dostarczalność i mniejszą liczbę maili lądujących w spamie.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
