BIMI e cache de logos: conduzir um rebranding e mostrar o novo logo em todas as caixas de entrada

Por CaptainDNS
Publicado em 13 de novembro de 2025

#Email
#BIMI
#DMARC
#Entregabilidade
#DNS
#Digicert

TL;DR

TL;DR – 🔐 BIMI mostra o seu logo dentro das caixas de entrada, mas os fornecedores mantêm-no em cache (Gmail, Yahoo, Apple, etc.). Durante um rebranding não basta substituir o SVG: é preciso antecipar os TTL DNS, versionar a URL do logo, rever o VMC e preparar um plano de transição. Um refresh BIMI bem preparado decorre ao longo de vários dias; sem preparação, o logo antigo pode continuar visível durante 1 a 2 semanas.

🎯 Objetivo: manter o controlo sobre o logo exibido

Quando as equipas falam de BIMI, normalmente pensam em:

DMARC com p=quarantine ou p=reject
um SVG Tiny PS quadrado
um certificado VMC (para Gmail, Apple Mail iCloud…)

Poucos antecipam a camada de cache, apesar de ser ela que determina o que o utilizador vê.

Problema típico:

Atualizou o logo no CDN e no DNS,
mas alguns destinatários continuam a ver o antigo durante vários dias.

Este artigo explica, passo a passo:

Como BIMI funciona realmente no lado destinatário
Onde estão as cachés (DNS, CDN, fornecedores…)
Como preparar um rebranding sem logos antigos a aparecer
Um plano de ação D-7 → D+7 para uma migração limpa

🔎 Recapitulação rápida: como funciona BIMI

Para que BIMI mostre um logo, precisa de três blocos:

Autenticação forte
- Domínio emissor com SPF e DKIM válidos
- Política DMARC alinhada (p=quarantine ou p=reject) no domínio de envio

Registo DNS BIMI

No subdomínio default._bimi.captaindns.com

Com a forma:

default._bimi.captaindns.com.  3600  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg; a=https://vmc.example.com/example-vmc.pem"

Logo + VMC
- Logo: ficheiro SVG Tiny PS quadrado, sem fontes externas nem imagens embebidas
- VMC (Verified Mark Certificate): opcional para alguns ISPs, obrigatório para Gmail e Apple se quiser o logo validado

Do lado destinatário, o fornecedor (por exemplo Gmail):

recebe a mensagem
verifica SPF/DKIM/DMARC
obtém uma vez o registo BIMI e o SVG
coloca tudo em cache para otimizar o desempenho

É esta última etapa que complica a atualização do logo.

🧊 Porque é que o logo BIMI antigo persiste?

Quando altera o logo existem várias cachés em jogo:

Cache DNS do TXT BIMI
Cache HTTP do CDN que serve o SVG
Cache interno do fornecedor de email (Gmail, Yahoo, Apple…)
Eventualmente, cache do cliente (app móvel, webmail aberto)

Resultado:
Mesmo que você veja o SVG correto no navegador, o fornecedor pode continuar a apresentar uma versão antiga durante algum tempo.

🧱 As 4 camadas de cache BIMI

Camada	Gerida por	Controla?	Exemplo
DNS BIMI (`TXT`)	Resolutores DNS, ISP	✅ Parcial	TTL do registo `default._bimi`
HTTP/CDN do logo (`SVG`)	Você / o seu CDN	✅ Sim	`Cache-Control`, `ETag`, `max-age`
Cache BIMI do fornecedor	Gmail, Yahoo, Apple, etc.	❌ Não	Atualizado ao ritmo deles (dias)
Cache do cliente de email	App móvel, browser, webmail	❌ Não	Sessão aberta, separadores não recarregados

👉 Importante:
Alterar apenas o conteúdo do SVG na mesma URL raramente basta.
Muitos fornecedores só voltam a descarregar o logo quando a URL muda.

📮 O que fazem Gmail, Yahoo, Apple, etc. na prática

Os fornecedores não publicam especificações detalhadas sobre a sua estratégia de cache BIMI.
Mas na prática observamos:

Gmail: atualização entre algumas horas e alguns dias, sobretudo após alteração do DNS e/ou do VMC.
Yahoo / AOL: caches geralmente mais longos, chegando a cerca de duas semanas para certos destinatários.
Apple Mail (iCloud): atualização progressiva, dependente da cache do servidor e da aplicação.

Pontos-chave:

Cada destinatário pode ver o novo logo em momentos diferentes.
Não existe qualquer botão “forçar refresh BIMI” do lado emissor.
As únicas alavancas reais são a URL do logo + TTL DNS + cabeçalhos HTTP.

🧠 Princípio central: versionar a URL do logo

A boa prática essencial numa atualização BIMI:

➜ Sempre que o logo muda, a URL do SVG também muda.

Duas abordagens:

Novo ficheiro
- Antes: https://cdn.example.com/bimi/logo.svg
- Depois: https://cdn.example.com/bimi/logo-v2.svg
Parâmetro de versão
- Antes: https://cdn.example.com/bimi/logo.svg?v=2024-01
- Depois: https://cdn.example.com/bimi/logo.svg?v=2025-11-rebrand

Os fornecedores interpretam geralmente “nova URL = logo novo”,
o que os leva a descarregar novamente o ficheiro, mesmo que o antigo ainda esteja em cache.

🏷️ Hospedar o logo BIMI e o VMC na DigiCert

Para além do alojamento próprio (site ou CDN), a DigiCert pode alojar o logo SVG BIMI e o VMC/CMC (ficheiro PEM).
Ative isto ao encomendar o certificado ou mais tarde no CertCentral.

Com o hosting DigiCert ativado:

A DigiCert alberga o seu SVG BIMI e o PEM em URLs HTTPS públicas.
Essas URLs ficam visíveis no CertCentral e prontas para colar em l= (logo) e a= (certificado) no registo BIMI.
Durante reemissões / renovações, a DigiCert atualiza os ficheiros sem alterar as URLs.
O par SVG + PEM permanece sincronizado, evitando o desfasamento clássico “logo modificado, certificado antigo”.

Integração no registo BIMI

Com o hosting DigiCert, um registo típico fica assim:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://bimi.digicert.com/.../logo.svg; a=https://bimi.digicert.com/.../vmc.pem"

Concretamente:

Cria o TXT default._bimi.captaindns.com (ou um seletor específico se usar vários).
Copia/cola as URLs do logo e do certificado desde o CertCentral em l= e a=.
Ajusta o TTL (ex. 3.600 s) de acordo com a sua estratégia de cache.

Assim, a equipa DNS já não precisa de alojar os ficheiros: tudo é servido pela infraestrutura da DigiCert.

Como a DigiCert gere o “versionamento”?

1. Renovações e reemissões do VMC/CMC

Para o ciclo de vida normal (renovação, reemissão sem alteração de logo):

A DigiCert substitui o certificado e, se necessário, o SVG mantendo as mesmas URLs.
Não altera o registo BIMI.
O logo exibido permanece coerente com o certificado.

Ou seja: o versionamento técnico (nova PEM, nova cadeia, etc.) é tratado pela DigiCert de forma transparente.

2. Mudança de logo / rebranding

Assim que muda realmente o logo (nova identidade, nova marca registada):

Precisa de um novo VMC/CMC (nova validação, novo certificado).
O logo não pode ser alterado com uma simples reemissão do certificado existente.
Se continuar a usar o hosting DigiCert recebe um novo par de URLs (novo SVG + novo PEM).
Depois atualiza o registo BIMI para apontar para essas URLs.

O hosting DigiCert não substitui a regra “nova URL BIMI = logo novo”: a alteração de l=/a= continua a ser o sinal para que os webmails recarreguem o logo, além da gestão de TTL/cache.

Em resumo: vale a pena ativar o hosting DigiCert?

Para a maioria das organizações, ativar o hosting DigiCert para o logo e o VMC é uma boa prática operacional:

reduz o risco de incoerências entre SVG/PEM;
simplifica as renovações;
reduz a carga da equipa de infra/DNS.

Se já possui um CDN robusto e quer controlo total sobre URLs e versionamento, o alojamento próprio continua a ser uma excelente opção, desde que o SVG servido permaneça idêntico ao validado no VMC.

🗺️ Plano de refresh BIMI: de D-7 a D+7

Eis um plano concreto para um rebranding sem surpresas.

🕒 D-7 a D-3: preparação técnica

Verificar a base
- DMARC em p=quarantine ou p=reject, alinhado com o domínio de envio
- SPF/DKIM corretos em todos os fluxos (marketing, transacional, interno)
- VMC atualizado e compatível com o novo logo; se houver grande mudança, provavelmente precisará de um novo certificado
Preparar o novo logo BIMI
- Formato: SVG Tiny PS, quadrado (viewBox 1:1), leve
- Validá-lo com um verificador BIMI
- Alojá-lo num CDN estável (HTTPS, sem redirecionamentos estranhos)
Reduzir os TTL DNS
- Baixar o TTL do registo BIMI para um valor curto:
  - ex. de 3600 para 300 ou 600 segundos
- Se usar um CNAME para outra zona DNS, reduza também esse TTL.

🚀 Dia D: mudança

Publicar o novo SVG numa URL nova
- logo-v2.svg ou ?v=2025-11-rebrand
- Cabeçalhos HTTP temporários:
```
Cache-Control: max-age=300, must-revalidate
```

Atualizar o registo BIMI

; Registo antigo
default._bimi.captaindns.com.  300  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2024-01; a=https://vmc.example.com/example-vmc-2024.pem"

; Registo novo
default._bimi.captaindns.com.  300  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2025-11-rebrand; a=https://vmc.example.com/example-vmc-2025.pem"

Aplicar a todos os domínios envolvidos
- Domínio principal (captaindns.com)
- Subdomínios de envio (news.captaindns.com, transactionnel.captaindns.com, etc.)
- Possíveis domínios de marcas filhas
Executar testes reais
- Enviar emails de teste para:
  - 1 ou 2 caixas Gmail
  - 1 caixa Yahoo/AOL
  - 1 caixa Apple iCloud
- Para cada teste anotar:
  - data/hora
  - logo efetivamente exibido
  - capturas, se possível (para acompanhar a migração)

📈 D+1 a D+7: acompanhamento e estabilização

Monitorizar diariamente a exibição
- Continuar a enviar testes para as mesmas caixas
- Verificar que o novo logo se generaliza
Aumentar gradualmente os TTL
- Quando tudo estiver estável:
  - Aumentar o TTL do registo BIMI (ex. 1.800 ou 3.600)
  - Ajustar o Cache-Control do CDN (ex. max-age=86400)
Manter o SVG antigo online por algumas semanas
- Não elimine imediatamente o logo anterior
- Algumas caches ainda podem solicitá-lo pontualmente

⚙️ Exemplo de registo BIMI “limpo” após o refresh

default._bimi.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/logo.svg?v=2025-11-rebrand; a=https://vmc.example.com/example-vmc-2025.pem"

Pontos importantes:

TTL razoável (900): compromisso equilibrado entre rapidez e estabilidade
URL versionada: ?v=2025-11-rebrand
VMC atualizado: example-vmc-2025.pem

Se tiver várias marcas, replique o padrão:

default._bimi.news.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/news-logo.svg?v=2025-11; a=https://vmc.example.com/news-vmc-2025.pem"
default._bimi.shop.captaindns.com.  900  IN  TXT  "v=BIMI1; l=https://cdn.example.com/bimi/shop-logo.svg?v=2025-11; a=https://vmc.example.com/shop-vmc-2025.pem"

🚫 Erros frequentes num refresh BIMI

Os erros mais comuns que observamos:

Reutilizar exatamente a mesma URL do logo
- O fornecedor assume que nada mudou e continua a servir a cache.
Manter um TTL DNS demasiado longo (ex. 86.400)
- Resolutores e ISPs demoram a atualizar o registo BIMI.
Esquecer-se de atualizar o VMC
- O logo exibido deve corresponder ao certificado.
- Uma alteração forte de design pode invalidar o VMC anterior.
Hospedar o logo atrás de muitas redirecionamentos
- Algumas plataformas não gostam de cadeias complexas.
- Prefira uma URL direta, HTTPS, sem tracking exótico.
Publicar um SVG “clássico” em vez de Tiny PS
- Fontes embutidas, gradientes complexos, filtros: motivos para um ISP recusar o logo.
Não testar em caixas reais
- Ferramentas de preview não chegam.
- Valide sempre em contas reais de Gmail, Yahoo, Apple iCloud.

📋 Checklist operacional “refresh BIMI”

Antes / durante / depois da mudança utilize esta lista:

🧭 Conclusão

BIMI não trata apenas de logo e certificado:
é também uma questão de gestão de cache.

Ao dominar:

os seus TTL DNS
os seus cabeçalhos HTTP
o versionamento das URLs
e um plano de transição estruturado

...volta a controlar o que os destinatários veem na caixa de entrada, mesmo em pleno rebranding.

Planeie o refresh BIMI como um mini projeto autónomo, com preparação, testes e acompanhamento.
O marketing mantém uma imagem consistente e a equipa de entregabilidade fica serena perante os efeitos das caches.