BIMI Checker

Ce que cet outil effectue

Le BIMI Checker exécute quatre opérations en chaîne sur le domaine saisi :

• Lookup DNS sur default._bimi.<domaine> pour récupérer l'enregistrement TXT et détecter les doublons ou un CNAME interdit.
• Téléchargement et validation du logo SVG pointé par le tag l= : format, conformité au profil SVG Tiny-PS (RFC 9043), viewBox carré, taille raisonnable.
• Téléchargement et parsing du VMC pointé par le tag a= : autorité émettrice, validité, présence du trustmark BIMI, expiration.
• Lookup DMARC sur _dmarc.<domaine> pour vérifier le prérequis strict (p=quarantine ou p=reject avec pct=100).

Le résultat agrège les findings en un score 0 à 100, six dimensions, des recommandations classées par priorité et une carte VMC compacte.

Comment fonctionne BIMI

BIMI (Brand Indicators for Message Identification, RFC 9043) permet à un domaine d'associer son logo officiel aux messages qu'il envoie. Trois composants doivent être réunis :

1. Un enregistrement DNS TXT publié à default._bimi.<domaine> au format v=BIMI1; l=<url_logo_svg>; a=<url_vmc> (le tag a= est optionnel par la spec mais requis en pratique).
2. Un logo SVG conforme au profil Tiny-PS : viewBox carré, pas de scripts, pas de références externes, pas de polices embarquées non autorisées.
3. Un certificat VMC ou CMC (Verified Mark Certificate ou Common Mark Certificate) émis par DigiCert ou Entrust, signé par une CA mark reconnue, contenant un OID "BIMI Indicator Trustmark".

Le prérequis non négociable : la politique DMARC du domaine doit être p=quarantine ou p=reject avec pct=100. Avec p=none ou un pct partiel, Gmail, Apple Mail et Yahoo n'affichent pas le logo, quelle que soit la qualité du record BIMI.

L'alignement DKIM ou SPF (selon le mode adkim ou aspf) reste nécessaire à l'envoi pour que les messages passent DMARC et déclenchent l'affichage du logo.

Quand utiliser le BIMI Checker

• Après publication DNS pour confirmer que l'enregistrement est propagé et lisible par les destinataires.
• Quand le logo ne s'affiche pas dans Gmail, Apple Mail ou Yahoo malgré un déploiement supposé complet.
• Avant le renouvellement annuel du VMC pour mesurer le temps restant et planifier la commande auprès de la CA.
• Audit de marque sur un domaine secondaire (sous-domaine de marketing, domaine de filiale) avant publication.
• Vérification de la chaîne complète (record, logo, VMC, DMARC) en cas de migration de fournisseur de logo ou d'autorité de certification.

Les six dimensions du score

Un record syntaxiquement invalide plafonne le score à 30. Une politique DMARC à p=none plafonne aussi à 30 et force le verdict critical : la chaîne BIMI est techniquement publiée mais inopérante.

Diagnostics courants et résolutions

Enregistrement absent

L'outil n'a trouvé aucun TXT à default._bimi.<domaine>. Créez l'enregistrement avec a minima v=BIMI1; l=https://captaindns.com/bimi/logo.svg. Publiez en DNS et patientez le temps de la propagation.

DMARC trop souple

L'outil détecte p=none ou un pct inférieur à 100. BIMI est inopérant sur Gmail, Apple Mail et Yahoo. Renforcez la politique DMARC, idéalement vers p=reject; pct=100, après une phase d'observation avec les rapports rua.

VMC manquant

Le tag a= est absent du record alors que l= est présent. Les rendus modernes nécessitent un VMC pour afficher le logo. Commandez un VMC auprès de DigiCert ou Entrust (compter 1000 à 1500 euros par an et 2 à 4 semaines de vérification), hébergez le PEM en HTTPS et ajoutez a=<url> au record.

Logo non conforme au profil

Le SVG téléchargé contient des éléments interdits (scripts, foreignObject, références externes, viewBox non carré). Utilisez le BIMI Validator pour identifier chaque élément à corriger, puis republiez le SVG nettoyé.

VMC bientôt expiré

Le certificat valide expire sous 60 jours. Anticipez le renouvellement auprès de la CA. Un VMC expiré coupe immédiatement l'affichage du logo, sans alerte côté webmail.

Limitations et points techniques

• Cache logo côté webmail : un changement de logo peut mettre plusieurs jours à apparaître chez les destinataires. Ce n'est pas un bug BIMI mais un comportement de cache.
• Sélecteur : la spec autorise des sélecteurs autres que default via le header BIMI-Selector. Cet outil interroge default._bimi.<domaine> qui couvre la quasi-totalité des déploiements.
• CMC versus VMC : les Common Mark Certificates (marques non déposées) sont supportés par certains webmails uniquement. Le VMC reste la référence pour Gmail et Yahoo.
• DKIM signature : le tag a= du record BIMI désigne le VMC, pas une clé DKIM. Ne pas confondre ces deux composants.
• Apple Mail affiche le logo BIMI même sans VMC quand DMARC est strict, contrairement à Gmail et Yahoo.

Outils complémentaires

Questions fréquentes

Q : Pourquoi mon logo BIMI ne s'affiche-t-il pas ?

R : Cinq causes courantes : la politique DMARC est en p=none ou le pct est inférieur à 100, le certificat VMC est absent ou expiré, le logo SVG n'est pas conforme au profil Tiny-PS (scripts, références externes, viewBox non carré), l'URL du logo n'est pas accessible en HTTPS, ou l'enregistrement BIMI lui-même n'est pas publié sur default._bimi.<domaine>. Le BIMI Checker diagnostique chacun de ces points.

Q : Quelle différence entre le BIMI Checker et le BIMI Validator ?

R : Le BIMI Checker interroge le DNS pour analyser l'enregistrement publié sur votre domaine, télécharge le logo et le VMC, vérifie DMARC. Le BIMI Validator analyse la syntaxe d'un enregistrement que vous collez avant publication. Workflow recommandé : validator avant publication, checker après.

Q : Que signifie le score 0 à 100 ?

R : Le score mesure la BIMI-readiness du domaine, c'est-à-dire la probabilité que le logo s'affiche dans Gmail, Apple Mail et Yahoo. 90 à 100 = inbox-ready. 75 à 89 = configuration correcte avec ajustements mineurs. 50 à 74 = blocages à traiter (VMC manquant, DMARC pas strict). Moins de 50 ou état invalide = critical.

Q : Quelles sont les six dimensions évaluées ?

R : Record (présence DNS, 20 points), syntaxe (record parseable, 15 points), DMARC strict (p=quarantine ou p=reject avec pct=100, 20 points), logo (SVG Tiny-PS conforme, 20 points), VMC (certificat valide non expiré avec trustmark, 15 points), hygiène (URL raisonnables, sha256, alignement, 10 points).

Q : Le VMC est-il obligatoire pour BIMI ?

R : La RFC 9043 ne l'impose pas, mais Gmail et Yahoo refusent d'afficher le logo sans un Verified Mark Certificate valide. Apple Mail tolère un déploiement sans VMC. Sans VMC, le logo reste invisible pour la majorité des destinataires.

Q : Que vérifie l'outil concernant DMARC ?

R : L'outil exécute un lookup sur _dmarc.<domaine>, lit la politique p, le pct, la politique sous-domaines sp et les modes d'alignement. Le prérequis BIMI est p=quarantine ou p=reject avec pct=100. Toute valeur inférieure plafonne le score BIMI à 30 et déclenche une recommandation critique.

Q : Que signifie 'logo non conforme Tiny-PS' ?

R : Le logo SVG contient des éléments interdits par le profil SVG Tiny PS défini par la RFC 9043 : scripts JavaScript, éléments foreignObject, références externes (xlink:href vers une autre URL), polices embarquées non autorisées, ou viewBox non carré. Le BIMI Validator détaille chaque élément à corriger.

Q : Combien de temps pour voir les changements BIMI ?

R : Deux délais s'ajoutent : la propagation DNS (1 à 4 heures avec TTL 3600, 24 à 48 heures avec TTL 86400) et le cache logo des webmails (plusieurs heures à plusieurs jours). Réduisez le TTL avant toute modification pour accélérer la propagation.

Ressources utiles

• RFC 9043 - SVG Tiny Portable/Secure (SVG Tiny PS) (profil SVG officiel pour BIMI)
• RFC 7489 - DMARC (prérequis DMARC strict)
• Draft IETF Brand Indicators for Message Identification (spécification BIMI en cours de standardisation)
• BIMI Group (AuthIndicators Working Group, documentation et drafts en cours)
• DigiCert Verified Mark Certificates (CA mark VMC)
• Entrust Verified Mark Certificates (CA mark VMC)
• Gmail BIMI requirements (exigences Google Workspace)