BIMI, VMC, CMC: compatibilità e prerequisiti DNS (Gmail, Yahoo, Apple Mail)

Di CaptainDNS
Pubblicato il 16 dicembre 2025

  • #DNS
  • #Email
  • #Deliverability
  • #DMARC
  • #Gmail
  • #Yahoo Mail
  • #Apple Mail
  • #Sicurezza
Illustrazione BIMI: DMARC + certificato VMC/CMC e visualizzazione del logo in Gmail, Yahoo Mail e Apple Mail
TL;DR

TL;DR - 📢 BIMI mostra il logo in inbox solo se il dominio supera DMARC e il logo è validato (VMC o CMC), con requisiti che variano secondo il provider.

  • Gmail richiede un VMC o un CMC; il checkmark Gmail è riservato al VMC.
  • Un CMC può essere emesso senza marchio registrato, con prova di uso precedente del logo (>= 12 mesi) o un "modified registered mark".
  • Lato DNS, tutto ruota attorno a DMARC (p=quarantine/reject + pct=100), al TXT BIMI e a un hosting HTTPS pulito (SVG/PEM).

BIMI (Brand Indicators for Message Identification) è la "ciliegina" visibile su una base invisibile: un'autenticazione email solida. Se implementato correttamente, le tue email possono mostrare il tuo logo in alcune caselle di posta.

Ma BIMI non è "solo un SVG". Per la maggior parte dei grandi provider (incluso Gmail) serve un certificato che leghi il logo alla tua organizzazione sul piano legale/amministrativo: VMC o CMC. Dal 2024 Gmail accetta anche CMC, cambiando le carte per chi non ha (ancora) un marchio registrato.

Questo articolo è per admin, team marketing email e CTO che vogliono:

  • capire la differenza VMC vs CMC,
  • mettere in sicurezza i prerequisiti DNS (DMARC/BIMI/HTTPS),
  • evitare le trappole del tipo "BIMI funziona su X ma non su Y".

Diagramma - flusso BIMI end-to-end

Cos'è davvero BIMI

BIMI è una specifica che permette ai provider di posta di mostrare un logo di marca accanto alle email, a condizione che:

  1. l'email superi DMARC (quindi SPF e/o DKIM siano allineati),
  2. il dominio pubblichi un record BIMI nel DNS,
  3. il logo sia conforme (SVG "Tiny-PS" nella maggior parte dei casi),
  4. e, a seconda del provider, il logo sia validato da un certificato (VMC/CMC).

BIMI non sostituisce l'anti-phishing

BIMI non "blocca" il phishing da solo. Incentiva a distribuire DMARC con policy rigorosa (quarantine/reject) e a migliorare l'igiene di autenticazione. La visualizzazione del logo è il risultato di quell'igiene, non un sostituto.

BIMI non è una garanzia di visualizzazione

Anche con un DNS perfetto, la visualizzazione resta a discrezione del provider (e talvolta delle sue regole interne, reputazione, storico spam, ecc.).

I prerequisiti DNS inevitabili

1) DMARC deve essere in modalità "enforcement"

Per essere idoneo BIMI (soprattutto Gmail), DMARC deve applicare un'azione:

  • p=quarantine o p=reject
  • pct=100

Esempio DMARC base pulito:

_dmarc.captaindns.com. 3600 IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-agg@captaindns.com; adkim=r; aspf=r"

Verifica:

dig +short TXT _dmarc.captaindns.com

Trappola frequente: p=none (monitoraggio). Utile all'inizio, ma non idoneo BIMI su Gmail.

2) SPF/DKIM devono passare E essere allineati (DMARC)

DMARC "passa" se:

  • SPF o DKIM passano,
  • e uno dei due è allineato con il dominio From:.

Checklist rapida:

  • Firmi tutto il traffico uscente con DKIM (raccomandato).
  • Il tuo SPF non è un "calderone" e non supera i limiti di lookup.
  • Eviti subdomini "fantasma" (es. mail.captaindns.com) che inviano senza policy DMARC.

3) Pubblicare il TXT BIMI (e nel posto giusto)

Il TXT BIMI si pubblica sotto un nome tipo:

  • default._bimi.captaindns.com

Esempi (in base al tuo modo):

Modalità certificato (tipicamente Gmail) - il logo è nel PEM, quindi l= può essere vuoto:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=; a=https://assets.captaindns.com/bimi/brand.pem"

Modalità "SVG" (auto-dichiarato) - accettato da alcuni provider, ma non da Gmail:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo.svg"

Verifica:

dig +short TXT default._bimi.captaindns.com

4) Hosting HTTPS: non è "solo caricare un file"

Che tu ospiti un SVG o un PEM, punta a:

  • HTTPS obbligatorio,
  • TLS moderno (almeno TLS 1.2),
  • certificati server validi (catena corretta),
  • URL stabili (niente redirect infiniti).

Test TLS semplice:

openssl s_client -connect assets.captaindns.com:443 -servername assets.captaindns.com </dev/null 2>/dev/null | openssl x509 -noout -subject -issuer

VMC: il "livello massimo" per BIMI

VMC (Verified Mark Certificate) = certificato di marca verificata. Punto chiave: il logo corrisponde a una marca registrata (o governativa) e la CA verifica:

  • l'esistenza della marca,
  • la corrispondenza con il logo (colori/varianti),
  • la proprietà o una licenza d'uso.

Cosa cambia per Gmail

  • Gmail richiede un VMC o CMC per BIMI.
  • Il checkmark verificato in Gmail è riservato ai mittenti con VMC (non CMC).
  • Il checkmark appare sul web Gmail ed è esteso alle app mobili Gmail (solo VMC).

Quando scegliere VMC

Scegli VMC se:

  • hai una marca registrata (o puoi registrarla),
  • vuoi il segnale di fiducia più forte (incluso il checkmark Gmail),
  • hai requisiti elevati di "compliance/anti-impersonation" (settori regolamentati, finanza, ecc.).

Tempo di preparazione

Il tempo "tecnico" (DNS/HTTPS) è rapido. Il tempo "legale" (registrazione del marchio) è il vero vincolo.

CMC: l'alternativa ufficiale quando il logo non è (ancora) registrato

CMC (Common Mark Certificate) = certificato per marchi che non rientrano in "registered mark".

Il CMC è stato introdotto per aprire BIMI a più organizzazioni, e Gmail lo supporta.

Due percorsi comuni per un CMC

I requisiti esatti sono nei "Mark Certificate Requirements", ma tieni questo modello mentale:

  1. Prior Use Mark: il logo è usato pubblicamente da abbastanza tempo e puoi provarlo.
  2. Modified Registered Mark: il logo è una variante legata a una marca registrata esistente (caso più "ibrido").

Focus "Prior Use": la regola dei >= 12 mesi

Idea: la CA deve verificare che:

  • il logo sia attualmente visibile su un sito che controlli,
  • e che fosse già visibile almeno 12 mesi prima sullo stesso dominio,
  • con prova storica via una fonte di archivio (es. archive.org).

In breve: se il logo vive sul tuo sito da un anno, hai un percorso CMC realistico senza deposito di marchio.

Cosa cambia per Gmail

  • Con un CMC, Gmail può mostrare il logo BIMI.
  • Ma senza il checkmark Gmail (riservato al VMC).

Confronto VMC vs CMC

La tabella seguente è esportata in CSV/JSON per riutilizzo (link nel frontmatter).

CriterioVMCCMCImpatto pratico
Tipo di marchio validatoMarchio registrato o governativoCommon mark: uso pregresso o marchio registrato modificatoDecisione soprattutto legale; il lavoro DNS è identico una volta emesso il certificato
Prova principaleVerifica presso un registro ufficiale (office/WIPO) + proprietà/licenzaLogo attualmente esposto su un sito controllato + prova di esposizione >= 12 mesi via archivio (es. archive.org)Prevedere raccolta di prove / URL / screenshot
Indicatore in GmailLogo + checkmark verificatoLogo senza checkmarkIl checkmark è un vantaggio specifico del VMC
Tempo di preparazionePuò richiedere un deposito di marchio (spesso 6-12 mesi)Richiede >= 12 mesi di storico d'usoPianificare secondo storico e obiettivi
Elegibilità del logoI marchi non registrati non sono ammessi come logo nel profilo "registered mark"Pensato per marchi non registrati (o derivati da un marchio registrato)CMC apre BIMI a più organizzazioni
Percezione di fiduciaValidazione forte e "standard" lato complianceValidazione basata sull'usoScegliere in base al rischio di impersonificazione
Requisiti DNSDMARC enforcement + BIMI TXT con a= verso PEMIdentico: DMARC enforcement + BIMI TXT con a= verso PEMLa scelta VMC/CMC non riduce il lavoro DNS
Cambio logoNuovo logo = nuovo ciclo di validazione/certificatoUgualeStabilizzare un "logo email" per evitare iterazioni
Quando scegliereMarchio registrato, serve il checkmark GmailNessun marchio registrato, uso pubblico stabile e documentabileScelta marketing/legale; tecnicamente il deployment è identico

Diagramma - scelta tra VMC e CMC

Compatibilità: Gmail, Yahoo Mail, Apple Mail

Gmail

Cosa considerare "vero" in produzione:

  • Certificato obbligatorio: VMC o CMC.
  • Checkmark: solo VMC.
  • Il TXT BIMI in modalità certificato punta a un PEM (logo + certificato), servito via HTTPS.

Yahoo Mail

Yahoo è storicamente uno dei provider più aperti su BIMI:

  • alcune visualizzazioni possono funzionare con loghi auto-dichiarati (senza certificato),
  • ma DMARC in enforcement resta un prerequisito importante.

Morale: se il tuo obiettivo prioritario è Gmail, vai diretto su un percorso VMC/CMC.

Apple Mail

Apple ha due "storie" diverse:

  1. BIMI in Apple Mail (client) Apple Mail supporta BIMI, ma il controllo è lato provider di posta (server): quel server deve verificare la conformità e aggiungere gli header necessari prima che Apple Mail mostri il logo.

  2. Branded Mail (Apple Business Connect) È un programma Apple separato da BIMI, che aggiunge nome + logo in Apple Mail / iCloud Mail, con:

  • validazione Apple,
  • verifica del dominio via TXT,
  • requisiti DMARC rigorosi e DKIM obbligatorio (SPF da solo non supportato),
  • vincoli di perimetro (solo domini commerciali, visibilità su iCloud e alcune lingue).

In sintesi: BIMI è multi-ecosistema, Branded Mail è un canale Apple.

DNS: cosa pubblicare davvero

Diagramma - record DNS da pubblicare

DMARC

Obiettivo: DMARC in "enforcement" + 100% dei messaggi.

_dmarc.captaindns.com. 3600 IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-agg@captaindns.com"

BIMI

Obiettivo: pubblicare il record al nome giusto + puntare ai tuoi asset.

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=; a=https://assets.captaindns.com/bimi/brand.pem"

DKIM

Obiettivo: firmare tutti i flussi e verificare d= (dominio) e il selector.

dig +short TXT selector1._domainkey.captaindns.com

CAA

CAA non è "obbligatorio" lato BIMI, ma c'è un punto operativo importante:

  • le CA devono consultare il tuo CAA prima di emettere un Mark Certificate;
  • se hai un CAA restrittivo e non autorizzi la CA scelta, l'emissione può fallire.

Esempio generico (adattalo alla CA usata):

captaindns.com. 3600 IN CAA 0 issue "ca-exemple.net"
captaindns.com. 3600 IN CAA 0 iodef "mailto:dns-alerts@captaindns.com"

Verifica:

dig +short CAA captaindns.com

Test e debug: le verifiche che evitano l'80% dei ticket

Verificare DMARC (valori bloccanti)

dig +short TXT _dmarc.captaindns.com

Punti da controllare per BIMI/Gmail:

  • p=quarantine o p=reject
  • pct=100

Verificare il TXT BIMI

dig +short TXT default._bimi.captaindns.com

Trappole:

  • record pubblicato su _bimi.captaindns.com (nome errato) invece di default._bimi.captaindns.com,
  • virgolette fuori posto / spazi strani,
  • URL https:// che reindirizza a http:// (no),
  • certificato PEM senza catena intermedia (se la CA chiede di aggiungerla).

Test veloce della chain TLS del server

openssl s_client -connect assets.captaindns.com:443 -servername assets.captaindns.com </dev/null

Fine 2025: novità e punti di attenzione

1) CMC: espansione importante, ma il checkmark resta VMC

Il supporto Gmail dei CMC ha aperto BIMI a più marchi, ma la gerarchia resta semplice:

  • VMC = logo + segnale forte (checkmark)
  • CMC = logo senza checkmark

2) Tag avp nel record BIMI

Un'evoluzione recente dello standard BIMI introduce avp (Avatar Preference) per esprimere una preferenza di visualizzazione:

  • avp=brand: preferire il logo di marca,
  • avp=personal: preferire l'avatar personale se esiste, altrimenti il logo BIMI.

Esempio (se supportato dal tuo ecosistema):

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo.svg; a=https://assets.captaindns.com/bimi/brand.pem; avp=brand"

3) Apple Branded Mail: DMARC rigoroso + DKIM obbligatorio

Se il tuo obiettivo è iCloud/Apple Mail "lato Apple", nota che Branded Mail impone:

  • DMARC in enforcement (quarantine/reject) e pct=100,
  • DKIM obbligatorio (SPF da solo non supportato),
  • validazione Apple + TXT di verifica, con finestre temporali.

Piano d'azione

  1. Mappare i domini di invio
  • dominio/i usati in From:
  • domini di bounce (Return-Path)
  • piattaforme (ESP, CRM, MTA interno)
  1. Rendere DMARC conforme a BIMI
  • correggere SPF/DKIM (almeno uno deve passare l'allineamento DMARC)
  • passare a p=quarantine poi p=reject man mano che maturi
  • fissare pct=100 quando sei pronto per BIMI
  1. Scegliere VMC vs CMC
  • marchio registrato (o piano di registrarlo) → VMC
  • nessun marchio registrato, ma logo pubblico da >= 12 mesi → CMC
  • nessuno storico → prima stabilizzare il tuo "logo email" e costruire le prove
  1. Produrre l'SVG conforme
  • formato SVG Tiny-PS
  • niente script/link esterni/animazioni
  • dimensioni in pixel (es. 96x96)
  • aggiungere <title> e <desc> (accessibilità)
  1. Ottenere il certificato e preparare il PEM
  • recuperare il PEM "entity"
  • aggiungere intermedi e root se richiesto dalla CA
  • ospitare il PEM su HTTPS stabile
  1. Pubblicare il TXT BIMI
  • default._bimi.tuo-dominio
  • puntare a a=https://.../brand.pem
  • (opzionale) pubblicare anche l=https://.../logo.svg se punti a client che usano l
  1. Testare
  • dig su DMARC/BIMI
  • curl su PEM/SVG
  • verificare invii reali verso Gmail/Yahoo/iCloud
  1. Monitorare
  • report DMARC (RUA) per intercettare i flussi che si rompono
  • tracciare i cambiamenti (logo, subdomini, ESP, chiavi DKIM)

FAQ

Gmail accetta BIMI senza certificato (logo auto-dichiarato)?

No: per mostrare un logo BIMI in Gmail serve un certificato (VMC o CMC) e un record BIMI che punti al PEM. I loghi auto-dichiarati possono funzionare altrove, ma non in Gmail.

Un CMC dà il checkmark in Gmail?

No. Con un CMC Gmail può mostrare il logo, ma il checkmark verificato è riservato al VMC.

Il mio DMARC è p=none: posso attivare BIMI?

Per Gmail, no: serve almeno p=quarantine o p=reject e pct=100. Se sei in p=none, inizia sistemando SPF/DKIM e poi aumenta gradualmente la policy.

Apple Mail: meglio BIMI o Branded Mail?

Se vuoi un approccio multi-provider (Gmail/Yahoo/etc.), BIMI è la via standard. Se punti all'ecosistema Apple/iCloud e accetti un processo Apple Business Connect (validazione Apple + requisiti DMARC/DKIM), Branded Mail può completare BIMI.

Cosa rompe più spesso BIMI lato DNS?

Le 3 cause principali: DMARC non in enforcement (p=none o pct<100), record BIMI pubblicato col nome errato (non default._bimi), e URL HTTPS inaccessibili (WAF, redirect, certificato server mal concatenato).

Scarica le tabelle comparative

Gli assistenti possono riutilizzare i dati scaricando gli export JSON o CSV qui sotto.

Glossario

  • BIMI: standard di visualizzazione del logo basato su DMARC + un record DNS BIMI.
  • DMARC: policy che indica cosa fare se SPF/DKIM falliscono e impone l'allineamento del dominio From:.
  • SPF: elenco di IP/servizi autorizzati a inviare per un dominio (autenticazione via IP).
  • DKIM: firma crittografica aggiunta al messaggio, verificata via DNS (autenticazione basata su chiave).
  • VMC: certificato BIMI basato su una marca registrata (o governativa), che offre un alto livello di fiducia.
  • CMC: certificato BIMI alternativo, basato su una "common" mark (es. uso pregresso) o una variante legata a una marca registrata.
  • PEM: formato file che contiene il certificato (e spesso la chain), referenziato dal tag a= del record BIMI.
  • CAA: record DNS che limita quali CA possono emettere certificati per un dominio.

Fonti

Articoli simili