BIMI et cache des logos : réussir une refonte de marque et afficher le nouveau logo dans les boîtes de réception

Par CaptainDNS
Publié le 13 novembre 2025

  • #Email
  • #BIMI
  • #DMARC
  • #Délivrabilité
  • #DNS
  • #Digicert
TL;DR

TL;DR – 🔐 BIMI affiche votre logo dans les boîtes de réception, mais les logos sont mis en cache par les fournisseurs (Gmail, Yahoo, Apple...). Lors d'une refonte de marque, changer simplement le fichier SVG ne suffit pas : il faut anticiper les TTL DNS, versionner les URL de logo, vérifier le VMC et prévoir un plan de bascule. Bien préparée, une refonte BIMI se déroule sur plusieurs jours. Sans une bonne préparation, elle peut laisser votre ancien logo s'afficher pendant 1 à 2 semaines.

🎯 Objectif : garder le contrôle sur le logo affiché

Quand on parle de BIMI, la majorité des équipes pensent à :

  • DMARC en p=quarantine ou p=reject
  • un SVG Tiny PS carré
  • un certificat VMC (pour Gmail, Apple Mail iCloud...)

Mais très peu anticipent la couche "cache", alors que c'est elle qui détermine ce que l'utilisateur voit réellement.

Problème typique :

Vous avez mis à jour le logo sur le CDN et dans le DNS,
mais certains utilisateurs voient encore l'ancien pendant plusieurs jours.

Cet article t'explique, étape par étape :

  1. Comment BIMI fonctionne réellement côté destinataire
  2. Où les caches se trouvent (DNS, CDN, webmails...)
  3. Comment préparer une refonte de marque sans vieux logo qui traîne
  4. Un plan d'action J-7 → J+7 pour une migration propre

🔎 Rappel express : comment fonctionne BIMI

Pour que BIMI affiche un logo, trois briques doivent être en place :

  1. Authentification forte

    • Domaine émetteur avec SPF et DKIM valides
    • Politique DMARC alignée (p=quarantine ou p=reject) sur le domaine d'envoi

  2. Enregistrement BIMI en DNS

    • Sur le sous-domaine default._bimi.captaindns.com

    • De la forme :

      default._bimi.captaindns.com.  3600  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg; a=https://vmc.example.com/example-vmc.pem"

  3. Logo + VMC

    • Logo : fichier SVG Tiny PS, carré, sans polices externes ni images embarquées
    • VMC (Verified Mark Certificate) : optionnel pour certains FAI, obligatoire pour Gmail et Apple si tu veux un logo de marque validé

Côté destinataire, le fournisseur (ex. Gmail) :

  1. reçoit le message
  2. vérifie SPF/DKIM/DMARC
  3. récupère, une fois, l'enregistrement BIMI et le SVG
  4. met l'ensemble en cache pour optimiser les performances

C'est cette dernière étape qui complique la mise à jour du logo.

🧊 Pourquoi l'ancien logo BIMI persiste ?

Quand tu changes ton logo, il y a en réalité plusieurs caches en jeu :

  1. Cache DNS du BIMI TXT
  2. Cache HTTP du CDN qui sert le SVG
  3. Cache interne du fournisseur de messagerie (Gmail, Yahoo, Apple...)
  4. Éventuellement, cache du client (app mobile, webmail ouvert depuis longtemps)

Résultat :
Même si, de ton côté, tu vois le bon SVG dans ton navigateur, le fournisseur peut continuer à afficher une ancienne version pendant un certain temps.

🧱 Les 4 niveaux de cache BIMI

NiveauQui décide ?Tu contrôles ?Exemple
DNS BIMI (TXT)Résolveurs DNS, FAI✅ PartiellementTTL du record default._bimi
HTTP/CDN du logo (SVG)Toi / ton CDN✅ OuiCache-Control, ETag, max-age
Cache BIMI du fournisseurGmail, Yahoo, Apple, etc.❌ NonRafraîchi à leur rythme (quelques jours)
Cache du client de messagerieApp mobile, navigateur, webmail❌ NonSession ouverte, onglets non rechargés

👉 Important :
Changer uniquement le contenu du SVG à la même URL est souvent insuffisant.
Beaucoup de fournisseurs ne re-téléchargent pas le logo BIMI tant que l'URL pointant vers celui-ci ne change pas.

📮 Ce que font Gmail, Yahoo, Apple, etc. en pratique

Les fournisseurs ne publient pas de spécification détaillée sur leur stratégie de cache BIMI.
Mais sur le terrain, on observe généralement :

  • Gmail : rafraîchissement de quelques heures à quelques jours, surtout après une modification du DNS et/ou du VMC.
  • Yahoo / AOL : cache souvent plus long, pouvant aller jusqu'à environ deux semaines pour certains destinataires.
  • Apple Mail (iCloud) : rafraîchissement progressif, dépendant à la fois de la mise en cache côté serveur et de l'app.

Quelques points à retenir :

  • Chaque destinataire peut voir le nouveau logo à un moment différent.
  • Il n'existe aucun bouton "forcer le refresh BIMI" côté expéditeur.
  • Le seul vrai levier que tu contrôles, c'est l'URL du logo + le TTL DNS + les headers HTTP.

La bonne pratique fondamentale en refonte BIMI :

À chaque changement de logo, changer aussi l'URL du SVG.

Deux approches possibles :

  1. Nouveau fichier

    • Avant : https://cdn.example.com/bimi/logo.svg
    • Après : https://cdn.example.com/bimi/logo-v2.svg

  2. Paramètre de version

    • Avant : https://cdn.example.com/bimi/logo.svg?v=2024-01
    • Après : https://cdn.example.com/bimi/logo.svg?v=2025-11-refonte

Les fournisseurs considèrent généralement qu'une nouvelle URL = nouveau logo,
et vont donc re-télécharger le fichier, même si l'ancien est encore en cache.

🏷️ Utiliser l'hébergement DigiCert pour le logo BIMI et le certificat VMC

En plus de l'hébergement "maison" (ton site ou ton CDN), DigiCert propose d'héberger le logo SVG BIMI et le certificat VMC/CMC (fichier PEM).

Tu actives cette option au moment de la commande du certificat ou ensuite depuis CertCentral.

Quand l'hébergement DigiCert est activé :

  • DigiCert héberge ton SVG BIMI et le fichier PEM sur des URL HTTPS publiques.
  • Ces URL sont visibles dans CertCentral et prêtes à être collées dans les champs l= (logo) et a= (certificat) de ton enregistrement BIMI.
  • Lors des réémissions / renouvellements, DigiCert met à jour les fichiers hébergés sans changer les URL.
  • Le couple SVG + PEM reste synchronisé, ce qui évite le classique décalage "logo modifié, mais certificat resté sur l'ancienne version".

Intégration dans l'enregistrement BIMI

Avec l'hébergement DigiCert, un enregistrement BIMI typique ressemble à ceci :

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://bimi.digicert.com/.../logo.svg; a=https://bimi.digicert.com/.../vmc.pem"

Concrètement :

  1. Tu crées le TXT default._bimi.captaindns.com (ou un sélecteur spécifique si tu en utilises plusieurs).
  2. Tu copies/colles les URL du logo et du certificat depuis CertCentral dans l= et a=.
  3. Tu ajustes le TTL (par exemple 3 600 s) en cohérence avec ta stratégie de cache décrite plus haut.

Ton équipe DNS n'a plus à se soucier d'héberger les fichiers : tout est servi depuis l'infrastructure DigiCert.

Comment DigiCert gère le "versionning" des fichiers ?

1. Renouvellements et réémissions du VMC/CMC

Pour tout ce qui est cycle de vie normal du certificat (renouvellement, réémission sans changement de logo) :

  • DigiCert remplace le certificat et, si besoin, le SVG derrière les mêmes URLs.
  • Tu ne modifies pas ton enregistrement BIMI.
  • Le logo affiché reste cohérent avec ce qui est inscrit dans le certificat.

Autrement dit : le versionning technique (nouvelle PEM, nouvelle chaîne, etc.) est géré côté DigiCert, de manière transparente.

2. Changement de logo / refonte de marque

Dès que tu changes réellement de logo (nouvelle identité, nouveau dépôt de marque) :

  • Tu dois passer par un nouveau VMC/CMC (nouvelle validation, nouveau certificat).
  • Le logo ne peut pas être modifié via une simple réémission du certificat existant.
  • Si tu continues à utiliser l'hébergement DigiCert, tu obtiens un nouveau couple d'URL hébergées (nouveau SVG + nouveau PEM).
  • Tu dois alors mettre à jour ton enregistrement BIMI pour pointer vers ces nouvelles URLs.

L'hébergement DigiCert ne remplace donc pas la logique de "nouvelle URL BIMI = nouveau logo" : c'est toujours ce changement d'URL dans l=/a= qui sert de signal fort aux webmails pour recharger le logo, en complément de ta gestion des TTL / caches.

Est‑ce une bonne pratique d'utiliser l'hébergement DigiCert ?

✅ Avantages

  • Simplicité opérationnelle
    Pas besoin de monter un hébergement ou un CDN pour deux fichiers : SVG et PEM sont servis par DigiCert en HTTPS, et l'équipe DNS se contente de publier un TXT.

  • Moins de risques d'erreur
    Le certificat et le logo sont gérés par le même acteur. Tu évites le cas où quelqu'un remplace le fichier SVG sur ton serveur sans mettre à jour le VMC correspondant.

  • Renouvellements transparents
    Lors des réémissions / renouvellements, l'enregistrement BIMI ne change pas, ce qui réduit le risque d'oubli ou de mauvaise manipulation côté DNS.

  • Utile pour les grandes organisations
    Quand le juridique, le marketing, la sécurité et la production DNS sont éclatés, déporter l'hébergement chez DigiCert simplifie la chaîne et réduit les points de friction.

⚠️ Points de vigilance

  • Dépendance à un tiers pour un actif de marque
    Certaines équipes sécurité préfèrent que le logo de marque soit servi depuis un domaine de l'entreprise (CDN interne). Avec l'hébergement DigiCert, les URLs BIMI pointent vers un domaine DigiCert, pas vers ton propre domaine.

  • Moins de contrôle sur la forme de l'URL
    Si tu veux un versionning très fin par chemin ou query string (/bimi/v1/logo.svg, /bimi/v2/logo.svg?v=2025-11-05, etc.), c'est plus naturel quand tu contrôles toi‑même l'hébergement.
    Avec DigiCert, tu gardes la main sur le moment où tu changes d'URL dans le BIMI record, mais pas sur la structure interne de ces URLs.

  • Penser à BIMI à chaque nouveau logo
    Même avec DigiCert, un changement de logo = nouveau certificat + nouvelle paire d'URL + mise à jour du TXT BIMI. Il faut donc intégrer BIMI/VMC dans la check‑list de refonte de marque, au même titre que le site web, les apps, les signatures mail, etc.

En résumé : quand activer l'hébergement DigiCert ?

Pour la plupart des organisations, activer l'hébergement DigiCert pour le logo et le VMC est une bonne pratique opérationnelle :

  • tu réduis le risque d'incohérence SVG/PEM ;
  • tu simplifies les renouvellements ;
  • tu allèges la charge sur l'équipe infra/DNS.

Si tu disposes déjà d'un CDN robuste et que tu veux garder la maîtrise totale des URLs et du versionning, l'auto‑hébergement reste une excellente option, à condition de respecter à la lettre la correspondance entre le SVG servi et celui qui a été validé dans le VMC.

🗺️ Plan de refonte BIMI : de J-7 à J+7

Voici un plan concret pour une refonte de marque sans mauvaises surprises.

🕒 J-7 à J-3 : préparation technique

  1. Vérifier la base

    • DMARC en p=quarantine ou p=reject, aligné sur le domaine d'envoi
    • SPF/DKIM corrects sur tous les flux (marketing, transactionnel, interne)
    • VMC à jour et compatible avec le nouveau logo ; attention, si le logo change fortement, il faudra certainement un nouveau certificat VMC

  2. Préparer le nouveau logo BIMI

    • Format : SVG Tiny PS, carré (vueBox 1:1), poids léger
    • Validation avec un validator BIMI
    • Hébergement sur un CDN stable (HTTPS, sans redirection exotique)

  3. Réduire les TTL DNS

    • Descendre le TTL du record BIMI à une valeur courte :
      • ex. de 3600 à 300 ou 600 secondes
    • Si tu utilises un CNAME vers un autre zone DNS, réduire le TTL du CNAME aussi.

  1. Publier le nouveau SVG à une nouvelle URL

    • logo-v2.svg ou ?v=2025-11-refonte

    • Headers HTTP temporaires :

      Cache-Control: max-age=300, must-revalidate

  2. Mettre à jour l'enregistrement BIMI

    ; Ancien enregistrement
default._bimi.captaindns.com.  300  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2024-01; a=https://vmc.example.com/example-vmc-2024.pem"

; Nouvel enregistrement
default._bimi.captaindns.com.  300  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2025-11-refonte; a=https://vmc.example.com/example-vmc-2025.pem"

  3. Déployer sur tous les domaines concernés

    • Domaine principal (captaindns.com)
    • Sous-domaines d'envoi (news.captaindns.com, transactionnel.captaindns.com, etc.)
    • Éventuels domaines dédiés à certaines marques filles

  4. Lancer des tests réels

    • Envoyer des e-mails de test vers :
      • 1 ou 2 boîtes Gmail
      • 1 boîte Yahoo/AOL
      • 1 boîte Apple iCloud
    • Noter pour chaque test :
      • la date/heure d'envoi
      • le logo effectivement affiché
      • des captures si possible (pour tracer la migration)

📈 J+1 à J+7 : suivi et stabilisation

  1. Surveiller quotidiennement l'affichage

    • Refaire des tests d'envoi vers les mêmes boîtes
    • Vérifier que le nouveau logo se généralise progressivement

  2. Remonter progressivement les TTL

    • Quand tout est stable :
      • Remonter le TTL du record BIMI (ex. 1800 ou 3600)
      • Ajuster le Cache-Control du CDN (ex. max-age=86400)

  3. Garder l'ancien SVG en ligne quelques semaines

    • Ne pas supprimer brutalement l'ancien logo
    • Certains caches peuvent encore le demander ponctuellement

⚙️ Exemple d'enregistrement BIMI "propre" après refonte

default._bimi.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2025-11-refonte; a=https://vmc.example.com/example-vmc-2025.pem"

Points importants :

  • TTL raisonnable (900) : un bon compromis entre réactivité et stabilité
  • URL versionnée : ?v=2025-11-refonte
  • VMC mis à jour : example-vmc-2025.pem

Si tu as plusieurs marques, tu peux décliner :

default._bimi.news.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/news-logo.svg?v=2025-11; a=https://vmc.example.com/news-vmc-2025.pem"
default._bimi.shop.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/shop-logo.svg?v=2025-11; a=https://vmc.example.com/shop-vmc-2025.pem"

🚫 Erreurs classiques lors d'une refonte BIMI

Voici ce que je vois le plus souvent sur le terrain :

  1. Réutiliser exactement la même URL de logo

    • Le fournisseur croit que rien n'a changé et continue à servir son cache.

  2. Garder un TTL DNS très long (ex. 86400)

    • Les résolveurs et les FAI ne rafraîchissent pas souvent ton record BIMI.

  3. Oublier de mettre à jour le VMC

    • Le logo affiché doit correspondre à celui certifié dans le VMC.
    • Un changement fort de design peut rendre l'ancien VMC invalide ou discutable.

  4. Héberger le logo derrière trop de redirections

    • Certaines plateformes n'aiment pas les chaînes de redirections complexes.
    • Privilégie une URL directe, en HTTPS, sans tracking exotique.

  5. Publier un SVG "classique" et non Tiny PS

    • Polices embarquées, gradients compliqués, filtres : autant de raisons pour qu'un FAI refuse d'afficher le logo.

  6. Ne pas tester sur de vraies boîtes

    • Tester seulement dans des outils de prévisualisation ne suffit pas.
    • Toujours valider dans Gmail, Yahoo, Apple iCloud, avec des comptes réels.

📋 Checklist opérationnelle "refonte BIMI"

Avant / pendant / après la bascule, tu peux t'appuyer sur cette liste :

  • DMARC aligné en p=quarantine ou p=reject sur tous les domaines d'envoi
  • Nouveau logo validé en SVG Tiny PS, carré
  • Nouveau VMC émis si le logo a changé significativement
  • URL de logo versionnée (/logo-v2.svg ou ?v=2025-11-refonte)
  • TTL du record BIMI abaissé à 300–600 s avant la bascule
  • Headers HTTP du SVG temporaires en max-age court
  • Mise à jour des enregistrements BIMI sur tous les domaines / sous-domaines
  • Tests réels envoyés vers des boîtes Gmail / Yahoo / Apple
  • Monitoring pendant 7 à 14 jours après la bascule
  • Ancien logo conservé en ligne encore quelques semaines

🧭 Conclusion

BIMI n'est pas qu'une histoire de logo et de certificat :
c'est aussi une histoire de cache.

En maîtrisant :

  • tes TTL DNS
  • tes headers HTTP
  • le versionnement de tes URL
  • et un plan de bascule structuré

... tu peux reprendre le contrôle sur ce que tes destinataires voient réellement dans leur boîte de réception, même en plein rebranding.

Anticipe ta refonte BIMI comme un mini-projet à part entière, avec préparation, tests et suivi.
Ton équipe marketing garde une image de marque cohérente, et ton équipe délivrabilité reste sereine face aux effets de bord des caches.

Schéma de propagation et de cache d'un logo BIMI

Articles similaires