BIMI-Logo-Cache: Ein Rebranding meistern und das neue Logo in allen Postfächern anzeigen

Von CaptainDNS
Veröffentlicht am 13. November 2025

  • #E-Mail
  • #BIMI
  • #DMARC
  • #Zustellbarkeit
  • #DNS
  • #Digicert
TL;DR

TL;DR – 🔐 BIMI zeigt dein Logo direkt im Posteingang, aber Mailbox-Provider cachen diese Logos (Gmail, Yahoo, Apple …). Bei einem Rebranding reicht es nicht, nur die SVG-Datei zu tauschen: Du musst DNS-TTLs planen, die Logo-URL versionieren, das VMC prüfen und einen Fahrplan für die Umstellung vorbereiten. Ein gut geplanter BIMI-Refresh dauert mehrere Tage; ohne Vorbereitung kann das alte Logo noch 1 bis 2 Wochen sichtbar bleiben.

🎯 Ziel: Kontrolle über das angezeigte Logo behalten

Wenn Teams über BIMI sprechen, denken sie meist an:

  • DMARC mit p=quarantine oder p=reject
  • ein quadratisches SVG Tiny PS
  • ein VMC-Zertifikat (für Gmail, Apple Mail iCloud …)

Nur wenige berücksichtigen die Cache-Schicht, obwohl sie entscheidet, was Nutzer wirklich sehen.

Typisches Problem:

Logo im CDN und im DNS aktualisiert,
aber einige Empfänger sehen tagelang noch die alte Version.

In diesem Artikel erfährst du Schritt für Schritt:

  1. Wie BIMI auf Empfängerseite tatsächlich funktioniert
  2. Wo sich die Cache-Ebenen befinden (DNS, CDN, Mailboxen …)
  3. Wie du ein Rebranding vorbereitest, ohne dass das alte Logo herumgeistert
  4. Einen Aktionsplan J-7 → J+7 für eine saubere Migration

🔎 Kurz erinnert: So funktioniert BIMI

Damit BIMI ein Logo anzeigt, brauchst du drei Bausteine:

  1. Starke Authentifizierung

    • Versanddomain mit gültigem SPF und DKIM
    • Ausgerichtete DMARC-Politik (p=quarantine oder p=reject) auf der Versanddomain

  2. BIMI-DNS-Eintrag

    • Auf dem Subdomain default._bimi.captaindns.com

    • In der Form:

      default._bimi.captaindns.com.  3600  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg; a=https://vmc.example.com/example-vmc.pem"

  3. Logo + VMC

    • Logo: quadratische SVG-Tiny-PS-Datei, keine externen Fonts oder eingebetteten Bilder
    • VMC (Verified Mark Certificate): für manche Provider optional, für Gmail und Apple Pflicht, wenn das Markenlogo angezeigt werden soll

Auf Empfängerseite macht der Provider (z. B. Gmail):

  1. empfängt die Nachricht
  2. prüft SPF/DKIM/DMARC
  3. holt den BIMI-Eintrag und das SVG ein einziges Mal
  4. legt alles im Cache ab, um Performance zu gewinnen

Genau dieser letzte Schritt erschwert Logo-Updates.

🧊 Warum bleibt das alte BIMI-Logo sichtbar?

Beim Logo-Wechsel greifen mehrere Caches ineinander:

  1. DNS-Cache des BIMI-TXT
  2. HTTP-Cache des CDN, das das SVG ausliefert
  3. Interner Cache des Mailbox-Providers (Gmail, Yahoo, Apple …)
  4. Ggf. Cache des Clients (Mobile-App, offener Webmail-Tab)

Ergebnis:
Selbst wenn du im Browser das neue SVG siehst, kann der Provider weiterhin eine alte Version ausliefern.

🧱 Die 4 BIMI-Cache-Ebenen

EbeneWer steuert sie?Unter deiner Kontrolle?Beispiel
BIMI-DNS (TXT)Rekursive Resolver, ISPs✅ TeilweiseTTL des default._bimi-Records
Logo-HTTP/CDN (SVG)Du / dein CDN✅ JaCache-Control, ETag, max-age
Mailbox-BIMI-CacheGmail, Yahoo, Apple, etc.❌ NeinAktualisierung nach eigenem Zeitplan
Mailclient-CacheApp, Browser, Webmail-UI❌ NeinOffene Sitzung, Tab nie neu geladen

👉 Wichtig:
Nur den Inhalt des SVG bei unveränderter URL auszutauschen, reicht meist nicht.
Viele Provider laden das Logo erst dann erneut, wenn sich die URL ändert.

📮 Was machen Gmail, Yahoo, Apple & Co. konkret?

Die Provider veröffentlichen keine vollständige Spezifikation für ihre BIMI-Caches.
In der Praxis beobachten wir:

  • Gmail: Refresh zwischen wenigen Stunden und einigen Tagen, besonders nach DNS- und/oder VMC-Änderungen.
  • Yahoo / AOL: tendenziell längere Caches, teils bis zu rund zwei Wochen.
  • Apple Mail (iCloud): schrittweise Aktualisierung, abhängig von Server-Cache und App.

Merke:

  • Jeder Empfänger kann das neue Logo zu einem anderen Zeitpunkt sehen.
  • Es gibt keinen “BIMI-Refresh erzwingen”-Button auf Senderseite.
  • Der echte Hebel ist Logo-URL + DNS-TTL + HTTP-Header.

🧠 Grundsatz: Logo-URL versionieren

Die wichtigste Regel beim BIMI-Rebranding:

Jede Logoänderung braucht auch eine neue SVG-URL.

Zwei Ansätze:

  1. Neue Datei

    • Vorher: https://cdn.example.com/bimi/logo.svg
    • Nachher: https://cdn.example.com/bimi/logo-v2.svg

  2. Versionsparameter

    • Vorher: https://cdn.example.com/bimi/logo.svg?v=2024-01
    • Nachher: https://cdn.example.com/bimi/logo.svg?v=2025-11-rebrand

Mailbox-Provider verstehen in der Regel „neue URL = neues Logo“,
und laden die Datei erneut, auch wenn die alte Version noch im Cache liegt.

🏷️ BIMI-Logo und VMC bei DigiCert hosten

Neben dem Eigenhosting (Website oder CDN) kann DigiCert das BIMI-SVG und das VMC/CMC (PEM-Datei) bereitstellen.
Das aktivierst du bei der Bestellung oder später in CertCentral.

Mit aktiviertem DigiCert-Hosting gilt:

  • DigiCert hostet dein BIMI-SVG und die PEM auf öffentlichen HTTPS-URLs.
  • Diese URLs sind in CertCentral sichtbar und können direkt in die Felder l= (Logo) und a= (Zertifikat) des BIMI-Records übernommen werden.
  • Bei Reissues / Renewals aktualisiert DigiCert die Dateien ohne die URLs zu ändern.
  • Das SVG+PEM-Paar bleibt synchron, sodass es keinen Versatz zwischen Logo und Zertifikat gibt.

Einbindung im BIMI-Record

Mit DigiCert-Hosting sieht ein typischer Eintrag so aus:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://bimi.digicert.com/.../logo.svg; a=https://bimi.digicert.com/.../vmc.pem"

Konkret:

  1. Du legst den TXT default._bimi.captaindns.com an (oder einen eigenen Selector).
  2. Du kopierst die URLs für Logo und Zertifikat aus CertCentral in l= und a=.
  3. Du passt den TTL an (z. B. 3.600 s) – passend zu deiner Cache-Strategie.

Das DNS-Team muss die Dateien nicht mehr selbst hosten: DigiCert liefert alles aus.

Wie versioniert DigiCert?

1. VMC/CMC-Renewals und Reissues

Beim normalen Zertifikats-Lifecycle (Renewal, Reissue ohne Logowechsel):

  • DigiCert ersetzt Zertifikat und bei Bedarf das SVG hinter denselben URLs.
  • Du änderst den BIMI-Eintrag nicht.
  • Das angezeigte Logo bleibt mit dem Zertifikat synchron.

Kurz: Das technische Versionieren (neue PEM, neue Kette …) übernimmt DigiCert.

2. Logowechsel / Rebranding

Sobald du wirklich ein neues Logo einführst (neues Design, neue Marke):

  • Brauchst du ein neues VMC/CMC (neue Validierung, neues Zertifikat).
  • Das Logo lässt sich nicht per Reissue des alten Zertifikats tauschen.
  • Mit DigiCert-Hosting erhältst du ein neues URL-Paar (neues SVG + neues PEM).
  • Du aktualisierst anschließend den BIMI-Record, damit er auf die neuen URLs zeigt.

Das DigiCert-Hosting ersetzt nicht die Regel „neue BIMI-URL = neues Logo“: Der Wechsel der l=/a=-Werte bleibt das wichtigste Signal für Mailboxen, zusätzlich zu deiner TTL-/Cache-Steuerung.

Lohnt sich DigiCert-Hosting?

✅ Vorteile

  • Operative Einfachheit
    Kein Hosting oder CDN für zwei Dateien nötig: DigiCert liefert SVG und PEM via HTTPS, das DNS-Team veröffentlicht nur den TXT.

  • Weniger Fehlerquellen
    Zertifikat und Logo kommen vom gleichen Anbieter. Niemand tauscht versehentlich das SVG aus, ohne den VMC nachzuziehen.

  • Transparente Renewals
    Bei Reissues/Renewals bleibt der BIMI-Eintrag unverändert, somit sinkt das Risiko für Tippfehler oder vergessene Deployments.

  • Hilfreich für große Organisationen
    Wenn Legal, Marketing, Security und DNS-Operations getrennt sind, vereinfacht DigiCert-Hosting den Prozess und reduziert Reibung.

⚠️ Punkte zum Aufpassen

  • Abhängigkeit von einem Dritten für ein Marken-Asset
    Manche Security-Teams wollen das Logo lieber auf einem eigenen Domain/CDN hosten. Mit DigiCert zeigen die BIMI-URLs auf eine DigiCert-Domain.

  • Weniger Kontrolle über die URL-Struktur
    Wenn du feingranulares Versionieren über Pfade oder Querystrings brauchst (/bimi/v1/logo.svg, /bimi/v2/logo.svg?v=2025-11-05 …), ist Self-Hosting flexibler.
    Mit DigiCert entscheidest du zwar, wann du die URL wechselst, aber nicht, wie sie aufgebaut ist.

  • BIMI bei jedem neuen Logo mitdenken
    Auch mit DigiCert gilt: Logowechsel = neues Zertifikat + neues URL-Paar + BIMI-Update. BIMI/VMC gehört daher auf jede Rebranding-Checkliste – wie Website, Apps oder Mail-Signaturen.

Fazit: Wann DigiCert-Hosting aktivieren?

Für die meisten Unternehmen ist DigiCert-Hosting für Logo und VMC eine sinnvolle operative Maßnahme:

  • weniger Risiko von SVG/PEM-Differenzen;
  • einfachere Renewals;
  • weniger Aufwand für das Infra-/DNS-Team.

Wer bereits ein stabiles CDN betreibt und volle URL-Kontrolle benötigt, kann weiterhin problemlos selbst hosten – solange das ausgelieferte SVG exakt dem im VMC geprüften entspricht.

🗺️ BIMI-Rebranding-Plan: von T-7 bis T+7

Ein konkreter Plan für ein Rebranding ohne böse Überraschungen.

🕒 T-7 bis T-3: technische Vorbereitung

  1. Fundament prüfen

    • DMARC auf p=quarantine oder p=reject, ausgerichtet zur Versanddomain
    • SPF/DKIM für alle Streams korrekt (Marketing, Transaktional, intern)
    • VMC aktuell und kompatibel mit dem neuen Logo; bei starkem Redesign -> neues Zertifikat

  2. Neues BIMI-Logo vorbereiten

    • Format: SVG Tiny PS, quadratisch (viewBox 1:1), schlank
    • Mit einem BIMI-Validator testen
    • Auf zuverlässigem CDN hosten (HTTPS, keine exotischen Redirects)

  3. DNS-TTLs senken

    • TTL des BIMI-Eintrags auf kurz setzen:
      • z. B. von 3600 auf 300 oder 600 Sekunden
    • Falls ein CNAME involviert ist, dort ebenfalls den TTL senken.

🚀 Stichtag: Umstellung

  1. Neues SVG unter neuer URL publizieren

    • logo-v2.svg oder ?v=2025-11-rebrand

    • Temporäre HTTP-Header:

      Cache-Control: max-age=300, must-revalidate

  2. BIMI-Eintrag aktualisieren

    ; Alter Eintrag
default._bimi.captaindns.com.  300  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2024-01; a=https://vmc.example.com/example-vmc-2024.pem"

; Neuer Eintrag
default._bimi.captaindns.com.  300  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2025-11-rebrand; a=https://vmc.example.com/example-vmc-2025.pem"

  3. Über alle betroffenen Domains ausrollen

    • Hauptdomain (captaindns.com)
    • Versand-Subdomains (news.captaindns.com, transactionnel.captaindns.com, …)
    • Eventuelle Domains von Subbrands

  4. Reale Tests durchführen

    • Testmails senden an:
      • 1–2 Gmail-Postfächer
      • 1 Yahoo/AOL-Postfach
      • 1 Apple iCloud-Postfach
    • Pro Test notieren:
      • Datum/Uhrzeit
      • tatsächlich angezeigtes Logo
      • Screenshots, wenn möglich

📈 T+1 bis T+7: Monitoring und Stabilisierung

  1. Anzeige täglich beobachten

    • Weiterhin Tests an dieselben Postfächer schicken
    • Prüfen, ob sich das neue Logo überall durchsetzt

  2. TTLs schrittweise erhöhen

    • Sobald alles stabil ist:
      • TTL des BIMI-Records erhöhen (z. B. 1.800 oder 3.600)
      • CDN-Cache-Control anpassen (z. B. max-age=86400)

  3. Altes SVG noch einige Wochen online lassen

    • Logo nicht sofort löschen
    • Manche Caches rufen es noch vereinzelt ab

⚙️ Beispiel für einen „sauberen“ BIMI-Eintrag nach dem Rebranding

default._bimi.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2025-11-rebrand; a=https://vmc.example.com/example-vmc-2025.pem"

Wichtige Punkte:

  • Vernünftiger TTL (900): guter Kompromiss zwischen Tempo und Stabilität
  • Versionierte URL: ?v=2025-11-rebrand
  • Aktualisiertes VMC: example-vmc-2025.pem

Für mehrere Marken lässt sich das Muster wiederholen:

default._bimi.news.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/news-logo.svg?v=2025-11; a=https://vmc.example.com/news-vmc-2025.pem"
default._bimi.shop.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/shop-logo.svg?v=2025-11; a=https://vmc.example.com/shop-vmc-2025.pem"

🚫 Häufige Fehler bei einer BIMI-Umstellung

Was wir am häufigsten sehen:

  1. Exakt dieselbe Logo-URL wiederverwenden

    • Der Provider glaubt, dass nichts geändert wurde, und liefert weiter aus dem Cache.

  2. Sehr langen DNS-TTL behalten (z. B. 86.400)

    • Resolver/ISPs aktualisieren den BIMI-Eintrag kaum.

  3. VMC nicht aktualisieren

    • Das angezeigte Logo muss mit dem Zertifikat übereinstimmen.
    • Ein starkes Redesign kann das alte VMC ungültig machen.

  4. Logo hinter zu vielen Redirects hosten

    • Manche Plattformen mögen komplexe Redirect-Ketten nicht.
    • Bevorzuge eine direkte HTTPS-URL ohne Tracking-Spielereien.

  5. „Normales“ SVG statt Tiny PS veröffentlichen

    • Eingebettete Fonts, komplexe Verläufe, Filter → Gründe für eine Ablehnung.

  6. Keine Tests mit echten Postfächern

    • Preview-Tools reichen nicht.
    • Immer mit echten Konten bei Gmail, Yahoo, Apple iCloud testen.

📋 Operative „BIMI-Rebranding“-Checkliste

Vor / während / nach der Umstellung hilft diese Liste:

  • DMARC auf allen Versanddomains mit p=quarantine oder p=reject
  • Neues Logo als quadratisches SVG Tiny PS validiert
  • Neues VMC ausgestellt, falls sich das Logo stark änderte
  • Logo-URL versioniert (/logo-v2.svg oder ?v=2025-11-rebrand)
  • BIMI-TTL vor der Umstellung auf 300–600 s gesenkt
  • Temporäre HTTP-Header am SVG mit kurzem max-age
  • BIMI-Records auf allen Domains/Subdomains aktualisiert
  • Reale Tests an Gmail / Yahoo / Apple-Postfächer gesendet
  • Monitoring über 7 bis 14 Tage nach dem Cutover
  • Altes Logo noch einige Wochen online lassen

🧭 Fazit

BIMI dreht sich nicht nur um Logo und Zertifikat –
es geht ebenso um Cache-Strategie.

Wer beherrscht:

  • seine DNS-TTLs
  • seine HTTP-Header
  • das Versionieren der URLs
  • sowie einen strukturierten Rollout-Plan

...gewinnt die Kontrolle über das, was Empfänger im Postfach sehen – sogar mitten im Rebranding.

Plane deinen BIMI-Refresh als eigenständiges Mini-Projekt mit Vorbereitung, Tests und Nachverfolgung.
Marketing behält ein konsistentes Markenbild und das Zustellbarkeitsteam bleibt entspannt trotz Cache-Effekten.

Zeitverlauf von Propagation und Cache eines BIMI-Logos

Ähnliche Artikel