BIMI, VMC, CMC: Kompatibilität und DNS-Voraussetzungen (Gmail, Yahoo, Apple Mail)

⚡TL;DR

TL;DR - 📢 BIMI zeigt dein Logo in der Inbox nur, wenn die Domain DMARC besteht und das Logo validiert ist (VMC oder CMC); die Anforderungen variieren je nach Provider.

• Gmail verlangt ein VMC oder CMC; das Gmail-Checkmark bleibt VMC vorbehalten.
• Ein CMC kann ohne eingetragene Marke ausgestellt werden, mit Nachweis der vorherigen Logonutzung (>= 12 Monate) oder einem "modified registered mark".
• Auf DNS-Ebene dreht sich alles um DMARC (p=quarantine/reject + pct=100), den BIMI TXT und sauberes HTTPS-Hosting (SVG/PEM).

BIMI (Brand Indicators for Message Identification) ist die sichtbare "Kirsche" auf einer unsichtbaren Basis: solide E-Mail-Authentifizierung. Wenn sie richtig umgesetzt ist, können deine Mails dein Logo in manchen Postfächern anzeigen.

Aber BIMI ist nicht "nur ein SVG". Für die meisten großen Player (inklusive Gmail) brauchst du ein Zertifikat, das das Logo juristisch/administrativ mit deiner Organisation verknüpft: VMC oder CMC. Seit 2024 akzeptiert Gmail auch CMC, was für Marken ohne eingetragene Marke einiges ändert.

Dieser Artikel richtet sich an Admins, E-Mail-Marketing-Teams und CTOs, die:

• den Unterschied VMC vs CMC verstehen wollen,
• die DNS-Prereqs absichern möchten (DMARC/BIMI/HTTPS),
• die Fallen vermeiden wollen, in denen "BIMI bei X funktioniert, aber nicht bei Y".

Was BIMI eigentlich ist

BIMI ist eine Spezifikation, die es Mailbox-Providern erlaubt, ein Brand-Logo neben deinen Mails anzuzeigen, wenn:

1. die Mail DMARC besteht (also SPF und/oder DKIM ausgerichtet sind),
2. die Domain einen BIMI-Record im DNS veröffentlicht,
3. das Logo konform ist (SVG "Tiny-PS" in den meisten Fällen),
4. und – je nach Provider – das Logo per Zertifikat (VMC/CMC) validiert ist.

BIMI ersetzt kein Anti-Phishing

BIMI "blockiert" Phishing nicht allein. Es ermutigt, DMARC mit strikter Policy (quarantine/reject) auszubauen und die Authentifizierungshygiene zu verbessern. Die Logo-Anzeige ist ein Ergebnis dieser Hygiene, kein Ersatz.

BIMI ist keine Anzeige-Garantie

Selbst mit perfektem DNS bleibt die Anzeige Ermessenssache des Providers (und ggf. seiner internen Regeln, Reputation, Spam-Historie usw.).

Die unvermeidlichen DNS-Prereqs

1) DMARC muss im "Enforcement" sein

Um BIMI-fähig zu sein (vor allem bei Gmail), muss DMARC eine Aktion erzwingen:

• p=quarantine oder p=reject
• pct=100

Sauberes DMARC-Beispiel:

_dmarc.captaindns.com. 3600 IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-agg@captaindns.com; adkim=r; aspf=r"

Prüfen:

dig +short TXT _dmarc.captaindns.com

Häufige Falle: p=none (Monitoring). Sehr nützlich am Anfang, aber nicht BIMI-geeignet bei Gmail.

2) SPF/DKIM müssen bestehen UND ausgerichtet sein (DMARC)

DMARC "besteht", wenn:

• SPF oder DKIM besteht,
• und eines der beiden mit der From:-Domain ausgerichtet ist.

Schnell-Checkliste:

• Du signierst den gesamten ausgehenden Traffic mit DKIM (empfohlen).
• Dein SPF ist kein "Sammelbecken" und überschreitet die Lookup-Limits nicht.
• Du vermeidest "Geister"-Subdomains (z.B. mail.captaindns.com), die ohne DMARC-Policy senden.

3) Den BIMI TXT veröffentlichen (und an der richtigen Stelle)

Der BIMI TXT wird unter einem Namen wie folgt veröffentlicht:

• default._bimi.captaindns.com

Beispiele (je nach Modus):

Zertifikatsmodus (typisch Gmail) – das Logo ist im PEM enthalten, l= kann leer bleiben:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=; a=https://assets.captaindns.com/bimi/brand.pem"

"SVG"-Modus (selbst deklariert) – von einigen Providern akzeptiert, aber nicht von Gmail:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo.svg"

Prüfen:

dig +short TXT default._bimi.captaindns.com

4) HTTPS-Hosting: nicht "einfach eine Datei ablegen"

Egal ob SVG oder PEM – achte auf:

• HTTPS verpflichtend,
• modernes TLS (mindestens TLS 1.2),
• gültige Server-Zertifikate (korrekte Chain),
• stabile URLs (keine Endlos-Redirects).

Einfacher TLS-Test:

openssl s_client -connect assets.captaindns.com:443 -servername assets.captaindns.com </dev/null 2>/dev/null | openssl x509 -noout -subject -issuer

VMC: das "Maximum-Level" für BIMI

VMC (Verified Mark Certificate) = Zertifikat für verifizierte Marke. Schlüsselpunkt: Das Logo entspricht einer eingetragenen Marke (oder Regierungsmarke) und die CA prüft:

• die Existenz der Marke,
• die Übereinstimmung mit dem Logo (Farben/Varianten),
• den Besitz oder eine Nutzungslizenz.

Was sich für Gmail ändert

• Gmail verlangt für BIMI ein VMC oder CMC.
• Das verifizierte Checkmark in Gmail ist Absendern mit VMC vorbehalten (nicht CMC).
• Das Checkmark erscheint auf Gmail Web und auch in den Gmail-Apps (nur VMC).

Wann VMC wählen

Wähle VMC, wenn:

• du eine eingetragene Marke hast (oder anmelden kannst),
• du das stärkste Vertrauenssignal willst (inkl. Gmail-Checkmark),
• du hohe Anforderungen an "Compliance/Anti-Impersonation" hast (regulierte Branchen, Finanzen usw.).

Vorbereitungszeit

Die "technische" Zeit (DNS/HTTPS) ist kurz. Die "juristische" Zeit (Markenanmeldung) ist der begrenzende Faktor.

CMC: die offizielle Alternative, wenn das Logo noch nicht eingetragen ist

CMC (Common Mark Certificate) = Zertifikat für Marken, die nicht in "registered mark" passen.

CMC wurde eingeführt, um BIMI für mehr Organisationen zu öffnen, und Gmail unterstützt es.

Zwei typische Wege zu einem CMC

Die genauen Anforderungen stehen in den "Mark Certificate Requirements", aber dieser mentale Rahmen hilft:

1. Prior Use Mark: dein Logo wurde lange genug öffentlich genutzt, und du kannst es beweisen.
2. Modified Registered Mark: dein Logo ist eine Variante einer bestehenden eingetragenen Marke (hybrider Fall).

Fokus "Prior Use": die >= 12-Monate-Regel

Die Idee: Die CA muss verifizieren können, dass:

• das Logo aktuell auf einer von dir kontrollierten Seite angezeigt wird,
• und es mindestens 12 Monate früher auf derselben Domain sichtbar war,
• mit historischem Nachweis über ein Archiv (z.B. archive.org).

Kurz: Wenn dein Logo seit einem Jahr auf deiner Seite lebt, hast du einen realistischen CMC-Weg ohne Markenanmeldung.

Was sich für Gmail ändert

• Mit einem CMC kann Gmail dein BIMI-Logo anzeigen.
• Aber ohne Gmail-Checkmark (nur bei VMC).

VMC vs CMC im Vergleich

Die Tabelle unten wird als CSV/JSON exportiert (Links im Frontmatter).

Kriterium	VMC	CMC	Praktischer Nutzen
Art der validierten Marke	Eingetragene oder staatliche Marke	Common mark: vorherige Nutzung oder abgewandelte eingetragene Marke	Vor allem eine juristische Entscheidung; DNS-Mechanik ist nach Ausstellung identisch
Hauptnachweis	Prüfung bei Markenamt (oder WIPO) + Eigentum/Lizenz	Logo aktuell auf eigener Seite sichtbar + Nachweis der Anzeige >= 12 Monate über Archiv (z.B. archive.org)	Belege / URLs / Screenshots einplanen
Indikator in Gmail	Logo + verifiziertes Checkmark	Logo ohne Checkmark	Das Checkmark ist ein Vorteil nur beim VMC
Vorbereitungszeit	Kann eine Markeneintragung benötigen (oft 6-12 Monate)	Erfordert >= 12 Monate Nutzungshistorie	Nach Historie und Zielen planen
Logo-Eignung	Nicht eingetragene Marken sind nicht als Logo im "registered mark"-Profil zulässig	Gedacht für nicht eingetragene Marken (oder abgeleitet von einer eingetragenen)	CMC öffnet BIMI für mehr Organisationen
Vertrauenswahrnehmung	Starke, "standardisierte" Validierung auf Compliance-Seite	Nutzungsbasierte Validierung	Wahl je nach Risiko einer Nachahmung
DNS-Anforderungen	DMARC enforcement + BIMI TXT mit a= auf PEM	Identisch: DMARC enforcement + BIMI TXT mit a= auf PEM	Die Wahl VMC/CMC reduziert die DNS-Arbeit nicht
Logowechsel	Neues Logo = neuer Validierungs-/Zertifikatszyklus	Gleich	Ein "E-Mail-Logo" stabilisieren, um Schleifen zu vermeiden
Wann wählen	Eingetragene Marke, Bedarf an Gmail-Checkmark	Keine eingetragene Marke, aber stabiler, belegbarer öffentlicher Gebrauch	Marketing/juristische Wahl; technisch identischer Rollout

Kompatibilität: Gmail, Yahoo Mail, Apple Mail

Gmail

Was in der Praxis als "wahr" gilt:

• Zertifikat Pflicht: VMC oder CMC.
• Checkmark: nur VMC.
• Der BIMI TXT im Zertifikatsmodus zeigt auf ein PEM (Logo + Zertifikat) über HTTPS.

Yahoo Mail

Yahoo gehört historisch zu den offeneren Providern bei BIMI:

• manche Anzeigen funktionieren mit selbst deklarierten Logos (ohne Zertifikat),
• aber DMARC im Enforcement bleibt ein wichtiges Prereq.

Fazit: Ist Gmail dein Hauptziel, geh direkt den VMC/CMC-Weg.

Apple Mail

Apple hat zwei unterschiedliche "Geschichten":

1. BIMI in Apple Mail (Client) Apple Mail unterstützt BIMI, aber die Kontrolle liegt beim Mail-Provider (Server): dieser muss Konformität prüfen und die nötigen Header setzen, bevor Apple Mail das Logo zeigt.

2. Branded Mail (Apple Business Connect) Ein Apple-Programm getrennt von BIMI, das Name + Logo in Apple Mail / iCloud Mail ergänzt, mit:

• Apple-Validierung,
• Domainverifikation via TXT,
• strengen DMARC-Anforderungen und pflichtigem DKIM (SPF allein nicht unterstützt),
• Perimeter-Einschränkungen (nur kommerzielle Domains, Sichtbarkeit in iCloud und bestimmten Sprachen).

Kurz: BIMI ist multi-Ökosystem, Branded Mail ist ein Apple-Kanal.

DNS: was du wirklich veröffentlichen musst

DMARC

Ziel: DMARC "Enforcement" + 100% der Nachrichten.

_dmarc.captaindns.com. 3600 IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-agg@captaindns.com"

BIMI

Ziel: Record am richtigen Namen veröffentlichen + auf deine Assets zeigen.

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=; a=https://assets.captaindns.com/bimi/brand.pem"

DKIM

Ziel: alle Flüsse signieren und d= (Domain) und Selector prüfen.

dig +short TXT selector1._domainkey.captaindns.com

CAA

CAA ist auf BIMI-Seite nicht "obligatorisch", aber operativ wichtig:

• CAs müssen dein CAA prüfen, bevor sie ein Mark Certificate ausstellen;
• wenn dein CAA restriktiv ist und die gewählte CA nicht freigibt, scheitert die Ausstellung.

Generisches Beispiel (an deine CA anpassen):

captaindns.com. 3600 IN CAA 0 issue "ca-exemple.net"
captaindns.com. 3600 IN CAA 0 iodef "mailto:dns-alerts@captaindns.com"

Prüfen:

dig +short CAA captaindns.com

Tests & Debug: Checks, die 80% der Tickets vermeiden

DMARC prüfen (blockierende Werte)

dig +short TXT _dmarc.captaindns.com

Zu prüfen für BIMI/Gmail:

• p=quarantine oder p=reject
• pct=100

Den BIMI TXT prüfen

dig +short TXT default._bimi.captaindns.com

Fallstricke:

• Record auf _bimi.captaindns.com (falscher Name) statt default._bimi.captaindns.com,
• falsch gesetzte Anführungszeichen / seltsame Abstände,
• https://-URL, die auf http:// umleitet (nein),
• PEM ohne Intermediate-Chain (falls deine CA das fordert).

Schnell die HTTPS-Server-Chain testen

openssl s_client -connect assets.captaindns.com:443 -servername assets.captaindns.com </dev/null

Ende 2025: Neues und Stolpersteine

1) CMC: große Erweiterung, aber Checkmark bleibt VMC

CMC-Support in Gmail öffnete BIMI für mehr Marken, aber die Hierarchie bleibt simpel:

• VMC = Logo + starkes Signal (Checkmark)
• CMC = Logo ohne Checkmark

2) avp-Tag im BIMI-Record

Eine jüngere BIMI-Entwicklung führt avp (Avatar Preference) ein, um eine Anzeigepräferenz auszudrücken:

• avp=brand: Markenlogo bevorzugen,
• avp=personal: persönlichen Avatar bevorzugen, wenn vorhanden, sonst BIMI-Logo.

Beispiel (falls im Ökosystem unterstützt):

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo.svg; a=https://assets.captaindns.com/bimi/brand.pem; avp=brand"

3) Apple Branded Mail: DMARC strikt + DKIM Pflicht

Wenn dein Ziel iCloud/Apple Mail "auf Apple-Seite" ist, beachte, dass Branded Mail fordert:

• DMARC im Enforcement (quarantine/reject) und pct=100,
• pflichtiges DKIM (SPF allein nicht unterstützt),
• Apple-Validierung + Verifikations-TXT, mit Zeitfenstern.

Aktionsplan

1. Sende-Domains kartieren

• Domain(s) im From:
• Bounce-Domains (Return-Path)
• Plattformen (ESP, CRM, internes MTA)

2. DMARC BIMI-konform machen

• SPF/DKIM fixen (mindestens eines muss DMARC-Ausrichtung bestehen)
• zu p=quarantine, dann p=reject hochgehen, wenn reif
• pct=100 setzen, wenn du BIMI-ready bist

3. VMC vs CMC wählen

• eingetragene Marke (oder Plan dazu) → VMC
• keine eingetragene Marke, aber Logo seit >= 12 Monaten öffentlich → CMC
• kein Historie → zuerst "E-Mail-Logo" stabilisieren und Belege aufbauen

4. Konformes SVG erstellen

• SVG Tiny-PS Format
• keine Scripts/externen Links/Animationen
• Abmessungen in Pixel (z.B. 96x96)
• <title> und <desc> ergänzen (Accessibility)

5. Zertifikat holen und PEM vorbereiten

• PEM "entity" besorgen
• Intermediates + Root anhängen, falls CA das fordert
• PEM auf stabilem HTTPS hosten

6. BIMI TXT veröffentlichen

• default._bimi.deine-domain
• auf a=https://.../brand.pem zeigen
• (optional) auch l=https://.../logo.svg, wenn Clients l nutzen

7. Testen

• dig auf DMARC/BIMI
• curl auf PEM/SVG
• echte Sendungen zu Gmail/Yahoo/iCloud prüfen

8. Monitoren

• DMARC-Reports (RUA), um brechende Flüsse zu erkennen
• Änderungen tracken (Logo, Subdomains, ESPs, DKIM-Keys)

FAQ

Akzeptiert Gmail BIMI ohne Zertifikat (selbst deklariertes Logo)?

Nein: Für BIMI-Anzeige in Gmail brauchst du ein Zertifikat (VMC oder CMC) und einen BIMI-Record, der auf das PEM zeigt. Selbst deklarierte Logos können anderswo funktionieren, aber nicht in Gmail.

Bringt ein CMC das Gmail-Checkmark?

Nein. Mit einem CMC kann Gmail das Logo anzeigen, aber das verifizierte Checkmark ist VMC vorbehalten.

Mein DMARC steht auf p=none: kann ich BIMI aktivieren?

Für Gmail nein: Du brauchst mindestens p=quarantine oder p=reject und pct=100. Wenn du bei p=none bist, erst SPF/DKIM fixen und die Policy schrittweise erhöhen.

Apple Mail: BIMI oder Branded Mail – was wählen?

Wenn du einen Multi-Provider-Ansatz willst (Gmail/Yahoo/etc.), ist BIMI der Standardweg. Wenn du auf das Apple/iCloud-Ökosystem zielst und einen Apple Business Connect-Prozess (Apple-Validierung + DMARC/DKIM-Anforderungen) akzeptierst, kann Branded Mail BIMI ergänzen.

Was bricht BIMI auf DNS-Seite am häufigsten?

Die Top 3: DMARC nicht im Enforcement (p=none oder pct<100), BIMI-Record am falschen Namen (nicht default._bimi), und nicht erreichbare HTTPS-URLs (WAF, Redirects, schlecht gechainte Server-Zertifikate).

Vergleichstabellen herunterladen

Assistenten können die JSON- oder CSV-Exporte unten nutzen, um die Kennzahlen weiterzugeben.

• VMC vs CMC Vergleich
• VMC vs CMC Vergleich

Glossar

• BIMI: Logo-Anzeigestandard basierend auf DMARC + einem BIMI-DNS-Record.
• DMARC: Policy, die definiert, was bei SPF/DKIM-Fehlern passiert, und die From:-Domain-Ausrichtung erzwingt.
• SPF: Liste der IPs/Dienste, die für eine Domain senden dürfen (IP-basierte Authentifizierung).
• DKIM: Kryptografische Signatur an der Mail, via DNS geprüft (schlüsselbasierte Authentifizierung).
• VMC: BIMI-Zertifikat auf Basis einer eingetragenen (oder Regierungs-)Marke, bietet hohes Vertrauen.
• CMC: Alternatives BIMI-Zertifikat, basierend auf einer "common" mark (z.B. Nutzung) oder einer Variante einer eingetragenen Marke.
• PEM: Dateiformat, das das Zertifikat (oft inkl. Chain) enthält, referenziert durch das a=-Tag im BIMI-Record.
• CAA: DNS-Record, der einschränkt, welche CAs Zertifikate für eine Domain ausstellen dürfen.

Quellen

• BIMI Group - Minimum Security Requirements for Issuance of Mark Certificates (VMC/CMC)
• Apple Developer - BIMI support in Apple Mail
• IETF Datatracker - BIMI (draft)