Ir para o conteudo principal
CaptainDNS

Diagnóstico de email

Ferramentas para verificar e validar a configuração de autenticação de email.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Entregabilidade

Auditoria de entregabilidadeAnalisador de cabeçalhosTestador de emailVerificador blacklist IPVerificador blacklist domínioSimplificador SPFPesquisa de seletores DKIMVerificador SMTP/MX

Proteger e Monitorar

Geradores de registros, hosting de políticas e monitoramento contínuo.

Rede e Web

Ferramentas de rede, análise de páginas web e certificados.

Ferramentas IP

O meu endereço IP

Detete os seus endereços IPv4/IPv6 e a respetiva geolocalização.

Pesquisa reversa

Resolva um registo PTR e valide a consistência DNS.

WhoIs de IP

Identifique o proprietário de um bloco de IP e respetivos contactos.

Máscara IPv4

Calcule a rede, o broadcast e os hosts utilizáveis de qualquer bloco IPv4.

Calculadora de sub-redes IPv6

Calcule sub-redes IPv6, faixas de endereços e entradas DNS reverso.

Certificados e BIMI

Inspector de logótipo BIMI

Analise a URL de um logótipo BIMI, o formato, os metadados e a renderização.

BIMI SVG Converter

Converta qualquer SVG para o formato Tiny-PS compatível BIMI em segundos.

Analisador de CSR

Inspecione um CSR, extraia detalhes do assunto, impressões digitais e SANs pedidos.

Inspetor VMC

Examine um Verified Mark Certificate: autoridade emissora, validade e SAN antes de publicar o BIMI.

Web

Verificador de peso de página

Verifique se sua página excede o limite de 2 MB do Googlebot.

Verificador de URL de phishing

Verifique se uma URL é sinalizada como phishing ou malware por 4 fontes.

Redirect Checker

Analise cadeias de redirecionamentos HTTP

Redirecionamento de domínio

Redirecione seus domínios com HTTPS automático e redirecionamentos 301/302.

Ferramentas de desenvolvimento

Utilitários de texto e ferramentas para o dia a dia do desenvolvimento.

Texto

Transforme e meça o seu conteudo em segundos.

Conversor de caixa de texto

Converta instantaneamente qualquer bloco de texto para maiúsculas ou minúsculas.

Gerador de slug

Transforme qualquer título em um slug otimizado para SEO em segundos.

Contador de palavras e caracteres

Meça o tamanho de qualquer texto com contagens imediatas de palavras e caracteres.

Gerador de senhas

Gere senhas aleatórias fortes e frases-senha fáceis de lembrar.

Desenvolvedor

Codificacao, hashing, regex e formatacao para o dia a dia dev.

Codificador / decodificador Base64

Codifique ou decodifique conteúdo em Base64 diretamente no navegador.

Gerador de hash

Calcule os hashes MD5, SHA-1, SHA-256 e SHA-512 de qualquer texto.

Codificador / decodificador URL

Codifique ou decodifique texto com percent-encoding (RFC 3986) diretamente no navegador.

Testador de regex

Teste uma expressão regular contra um texto e visualize as correspondências.

Formatador JSON / YAML

Formate, valide e converta JSON e YAML em um clique.

CaptainDNS hospeda sua política MTA-STS e seu logo BIMI, e monitora seus relatórios DMARC e TLS-RPT automaticamente. Tudo grátis, sem servidor próprio.

Google, Yahoo e Microsoft agora exigem autenticação de e-mail mais forte. Proteja sua entregabilidade em poucos cliques.

MTA-STSBIMITLS-RPTDMARC Monitoring

Certificado VMC e CMC para BIMI: escolher, comprar e implantar

Por CaptainDNS
Publicado em 1 de abril de 2026

Esquema do processo de obtenção de um certificado VMC ou CMC para BIMI
TL;DR
  • VMC para marcas registradas (checkmark azul no Gmail, logo no Apple Mail), CMC para empresas sem marca registrada (logo no Gmail sem checkmark)
  • Preços anuais: VMC de 749 a 1688 $, CMC de 650 a 1100 $, mais o custo da marca registrada para VMC
  • Cinco autoridades de certificação oferecem certificados BIMI: DigiCert, Entrust, Sectigo, GlobalSign e SSL.com
  • O CaptainDNS hospeda gratuitamente seu certificado VMC ou CMC com extração automática de metadados e alertas de expiração

Segundo uma análise da URIports de 2025, 53,6 % dos registros BIMI contêm pelo menos um erro. Mais da metade dos domínios que tentam exibir seu logo na caixa de entrada falham. Sua empresa investe semanas de trabalho, entre 700 e 3000 euros, e o logo não aparece no Gmail. Por quê? Na maioria dos casos, não é o DNS que bloqueia, nem o formato do logo: é o certificado. O tipo errado de certificado, um processo de validação mal preparado, um arquivo PEM mal hospedado, uma marca registrada inadequada. O certificado é o principal ponto de atrito na implantação do BIMI.

O ecossistema, porém, evoluiu. Desde setembro de 2024, o Gmail aceita CMCs (Common Mark Certificates) além dos VMCs (Verified Mark Certificates). O Apple Mail continua exigindo VMC. O Yahoo Mail exibe o logo sem nenhum certificado. Três provedores principais, três níveis de exigência diferentes. Para as equipes técnicas que querem implantar o BIMI, a primeira pergunta não é mais "preciso de um certificado?" e sim "qual, de quem, por quanto e como implantar corretamente?".

Este guia responde a essas perguntas. Ele cobre o processo completo, desde a escolha entre VMC e CMC até o checkmark visível no Gmail: comparativo objetivo das cinco autoridades de certificação com preços reais, pré-requisitos técnicos detalhados, processo de validação passo a passo, hospedagem do certificado PEM e implantação DNS. Cada seção foi pensada para economizar seu tempo e evitar os erros que atrasam a entrada em produção em várias semanas.

Hospede seu certificado BIMI gratuitamente

Hospedar com o CaptainDNSVerificar seu registro BIMI

VMC ou CMC: qual certificado BIMI escolher?

A escolha entre VMC e CMC condiciona todo o restante: o orçamento, os documentos a preparar, o prazo de obtenção e as funcionalidades disponíveis em cada provedor de e-mail. Antes de entrar em contato com uma autoridade de certificação, é preciso responder a três perguntas.

Três perguntas para decidir

1. Seu logo está vinculado a uma marca registrada?

Se seu logo está registrado como marca figurativa em um escritório reconhecido (INPI, USPTO, EUIPO, WIPO etc.), você pode pleitear um VMC. Se não tem marca registrada, ou se sua marca é apenas verbal (texto sem elemento gráfico), o CMC é sua única opção. Não existe atalho: sem marca figurativa registrada, nenhuma autoridade de certificação emitirá um VMC.

2. Você precisa do checkmark azul no Gmail?

O checkmark azul (a marca de verificação azul exibida ao lado do nome do remetente no Gmail) é exclusivo do VMC. Um CMC exibe o logo no Gmail, mas sem esse marcador visual. Se o checkmark é um objetivo estratégico para sua marca (confiança dos destinatários, diferenciação contra phishing), o VMC é indispensável. Se a exibição do logo é suficiente, o CMC cumpre o papel.

3. Qual orçamento você pode dedicar?

O VMC custa entre 749 e 1688 $ por ano, dependendo da autoridade de certificação. O CMC custa entre 650 e 1100 $ por ano. Mas o VMC implica um custo adicional frequentemente subestimado: a própria marca registrada. Um depósito no INPI custa cerca de 190 euros por 10 anos (uma classe), um depósito no EUIPO cerca de 850 euros. Se você ainda não tem marca registrada, adicione esse valor ao orçamento do VMC, além do prazo de vários meses necessário para o registro.

Comparativo rápido VMC vs CMC

CritérioVMCCMC
Marca registrada exigidaSim (figurativa, ativa)Não
Gmail: exibição do logoSimSim
Gmail: checkmark azulSimNão
Apple Mail: exibição do logoSimNão
Yahoo Mail: exibição do logoNão exigido (autodeclarado basta)Não exigido
Preço anual do certificado749-1688 $650-1100 $
Prazo típico de obtenção2-6 semanas1-4 semanas
Prova exigidaMarca registrada + documentos da organizaçãoUso do logo por 12 meses + documentos da organização

A escolha se resume a uma decisão estratégica. O VMC oferece o nível máximo de confiança (checkmark no Gmail, compatibilidade com Apple Mail), ao custo de uma marca registrada e um orçamento mais elevado. O CMC democratiza o acesso ao BIMI para organizações sem marca registrada, com implantação mais rápida e menos onerosa.

Para um comparativo detalhado das diferenças técnicas e da compatibilidade por provedor de e-mail, consulte o guia VMC, CMC e compatibilidade DNS na seção Guias relacionados no final do artigo.

As cinco autoridades de certificação BIMI comparadas

Cinco autoridades de certificação (CAs) emitem certificados BIMI. Seus processos de validação são similares (todos seguem as exigências do BIMI Group), mas os preços, os prazos e os serviços adicionais variam significativamente. Não existe um comparativo objetivo dessas cinco CAs até o momento. Aqui estão os dados consolidados.

DigiCert

A DigiCert é a líder histórica do mercado de certificados BIMI. Foi a primeira CA a oferecer VMCs no lançamento do BIMI e possui a maior base instalada.

VMC: cerca de 1499 $ por ano no preço direto. Alguns revendedores autorizados oferecem preços ligeiramente inferiores. A DigiCert cobra o certificado por domínio: um certificado por domínio remetente.

CMC: cerca de 1099 $ por ano. O CMC está disponível desde o final de 2024 na DigiCert, na esteira do anúncio do Gmail.

Processo de validação: validação de organização (OV) completa, verificação da marca registrada (VMC) ou da prova de uso (CMC), verificação do controle do domínio (DNS TXT ou email), submissão e validação do logo SVG Tiny-PS. A DigiCert possui uma equipe de validação dedicada que trata os dossiês BIMI.

Hospedagem do PEM inclusa: não. O cliente deve hospedar o arquivo PEM em seu próprio servidor ou por meio de um serviço terceirizado.

Prazo: 2 a 4 semanas para um VMC (a verificação da marca registrada é a etapa mais longa), 1 a 3 semanas para um CMC.

Pontos fortes: experiência comprovada (primeiro emissor de VMC), documentação abundante, suporte técnico responsivo, ampla rede de revendedores. A DigiCert é a escolha padrão de grandes empresas e organizações que priorizam a confiabilidade do processo.

Entrust

A Entrust é um ator importante em certificados digitais, com forte presença nos setores bancário, governamental e corporativo. Sua solução BIMI se integra naturalmente ao seu portfólio de certificados TLS e de assinatura de código.

VMC: cerca de 1499 $ por ano. O posicionamento de preço é alinhado com a DigiCert.

CMC: cerca de 1099 $ por ano.

Processo de validação: similar ao da DigiCert. Validação de organização, verificação da marca (VMC) ou do uso (CMC), verificação do domínio, validação do logo SVG. A Entrust se apoia em suas equipes de validação existentes, o que pode acelerar o processo para clientes que já possuem certificados Entrust (a validação de organização pode ser reutilizada em certos casos).

Hospedagem do PEM inclusa: não.

Prazo: 2 a 4 semanas para um VMC, 1 a 3 semanas para um CMC. Clientes existentes com validação de organização recente podem se beneficiar de prazos reduzidos.

Pontos fortes: forte presença corporativa, integração com as soluções Entrust existentes (PKI gerenciada, certificados TLS), processo de validação consolidado para grandes organizações. Se sua empresa já usa Entrust para seus certificados TLS ou PKI, o VMC/CMC se integra ao mesmo fluxo de aquisição.

Sectigo

A Sectigo (antiga Comodo CA) se posiciona no segmento de preços com os certificados BIMI mais acessíveis do mercado. A Sectigo vende principalmente por meio de uma ampla rede de revendedores (SSL Store, GoGetSSL, SSLs.com, entre outros), o que gera forte competição de preços.

VMC: cerca de 749 $ por ano via os revendedores mais baratos. O preço pode variar entre 749 e 999 $ conforme o revendedor e as promoções vigentes. O preço direto da Sectigo é ligeiramente mais alto.

CMC: cerca de 649 $ por ano via revendedores. É o preço de entrada mais baixo do mercado para um certificado BIMI.

Processo de validação: validação OV padrão, verificação da marca registrada (VMC) ou da prova de uso (CMC), verificação do domínio, validação SVG. O processo é globalmente o mesmo da DigiCert e da Entrust, com exigências documentais idênticas (as CAs seguem os mesmos Mark Certificate Requirements do BIMI Group).

Hospedagem do PEM inclusa: não.

Prazo: 1 a 3 semanas para um VMC, 1 a 2 semanas para um CMC. A Sectigo é geralmente mais rápida que DigiCert e Entrust nos prazos de validação, em parte porque os dossiês são tratados por equipes dedicadas aos certificados de marca.

Pontos fortes: preços mais baixos do mercado, ampla rede de revendedores (facilidade de compra), prazos de validação competitivos. A Sectigo é a escolha natural para organizações sensíveis ao orçamento que querem um VMC ou CMC sem pagar o premium da DigiCert/Entrust.

Ponto de atenção: o suporte técnico varia bastante conforme o revendedor. Alguns oferecem acompanhamento mínimo, o que pode complicar o processo para equipes que estão descobrindo o BIMI. Prefira um revendedor com suporte dedicado se for seu primeiro certificado BIMI.

GlobalSign

A GlobalSign é uma CA internacional com forte presença na Europa e na Ásia. Sua oferta BIMI é mais recente que a da DigiCert ou Entrust, mas cobre os dois tipos de certificado.

VMC: cerca de 1299 $ por ano. O posicionamento de preço fica entre a Sectigo e a dupla DigiCert/Entrust.

CMC: cerca de 999 $ por ano.

Processo de validação: padrão BIMI Group. Validação de organização, verificação da marca ou do uso, verificação do domínio, validação SVG. A GlobalSign possui uma infraestrutura de validação internacional que pode ser vantajosa para organizações multinacionais.

Hospedagem do PEM inclusa: não.

Prazo: 2 a 4 semanas para um VMC, 1 a 3 semanas para um CMC.

Pontos fortes: presença internacional (escritórios na Europa, Ásia, Américas), suporte multilinguístico, experiência em validação de organização para empresas não americanas. Se sua organização está sediada fora dos Estados Unidos e enfrenta dificuldades com a validação em CAs americanas, a GlobalSign pode oferecer um processo mais fluido.

SSL.com

A SSL.com é um ator menor que expandiu sua oferta para certificados BIMI. A CA oferece VMCs e CMCs, principalmente por meio de seus canais diretos e alguns revendedores parceiros.

VMC: cerca de 999 $ por ano no preço direto, podendo chegar a 749 $ via alguns revendedores.

CMC: cerca de 749 $ por ano.

Processo de validação: padrão BIMI Group, similar às demais CAs.

Hospedagem do PEM inclusa: não.

Prazo: 2 a 3 semanas para um VMC, 1 a 2 semanas para um CMC.

Pontos fortes: preços competitivos (próximos da Sectigo), interface de gerenciamento de certificados simples e intuitiva, suporte técnico acessível. A SSL.com é uma alternativa viável para organizações que buscam um bom custo-benefício sem passar pela rede de revendedores da Sectigo.

Tabela comparativa das cinco CAs

CAVMC ($/ano)CMC ($/ano)Prazo VMCPrazo CMCHospedagem PEM
DigiCert~1499~10992-4 sem.1-3 sem.Não
Entrust~1499~10992-4 sem.1-3 sem.Não
Sectigo~749~6491-3 sem.1-2 sem.Não
GlobalSign~1299~9992-4 sem.1-3 sem.Não
SSL.com~999~7492-3 sem.1-2 sem.Não

Nota importante: os preços indicados são aproximados e variam conforme o revendedor, o volume e as promoções vigentes. Verifique sempre os preços atuais diretamente com a CA ou seus revendedores autorizados. Os preços evoluem regularmente, especialmente para os CMCs, cujo mercado ainda está em estruturação.

Duas conclusões se destacam neste comparativo. Primeiro, nenhuma CA oferece hospedagem do arquivo PEM. Todas entregam o certificado como arquivo que você deve hospedar em um servidor HTTPS acessível publicamente. Esse é um ponto frequentemente descoberto tardiamente no processo. Segundo, a diferença de preço entre a CA mais barata (Sectigo, 749 $/ano para VMC) e a mais cara (DigiCert/Entrust, 1499 $/ano) chega a 100 %. O certificado produzido é tecnicamente idêntico (mesmo formato PEM, mesmas exigências de validação, mesma compatibilidade com os provedores de e-mail), mas o nível de serviço, o acompanhamento e a reputação da CA justificam em parte essa diferença.

Comparativo de preços e prazos das cinco autoridades de certificação BIMI em 2026

Os pré-requisitos antes de comprar seu certificado

Antes de fazer o pedido junto a uma autoridade de certificação, quatro pré-requisitos devem ser atendidos. Ignorá-los é a principal causa de atrasos e rejeições de dossiês. Cada pré-requisito faltante adiciona de uma a seis semanas ao processo.

DMARC em enforcement

A especificação BIMI exige que o domínio remetente publique um registro DMARC com política de enforcement: p=quarantine ou p=reject. Um registro DMARC com p=none (modo observação) não qualifica para BIMI em nenhum provedor de e-mail. O Gmail é particularmente rigoroso nesse ponto e verifica o registro DMARC antes mesmo de buscar o registro BIMI.

Para que o DMARC funcione, SPF e DKIM devem estar corretamente configurados previamente. O DMARC "passa" se pelo menos um dos dois protocolos (SPF ou DKIM) estiver autenticado e alinhado com o domínio do From:. Na prática, a assinatura DKIM é o mecanismo mais confiável, pois resiste ao encaminhamento de mensagens (forwarding), ao contrário do SPF.

Verificação rápida:

dig +short TXT _dmarc.captaindns.com

Resultado esperado:

"v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-agg@captaindns.com; adkim=r; aspf=r"

Pontos de controle:

  • p=quarantine ou p=reject (não p=none)
  • pct=100 (ou ausente, pois o valor padrão é 100)
  • Pelo menos uma tag rua= para receber os relatórios agregados (recomendado, mas não obrigatório para BIMI)

Se você ainda está em p=none, não faça o pedido do certificado agora. Migre primeiro para p=quarantine, monitore os relatórios DMARC por algumas semanas para verificar que seus fluxos legítimos não são impactados e, em seguida, passe para p=reject se possível. Esse processo pode levar de duas a oito semanas, dependendo da complexidade da sua infraestrutura de e-mail.

Um logo SVG Tiny-PS em conformidade

O logo submetido à CA e publicado no registro BIMI deve respeitar o perfil SVG Tiny-PS (Tiny Portable/Secure). Esse perfil restrito do formato SVG foi imposto pelo BIMI Group por razões de segurança: ele proíbe elementos que poderiam ser explorados por um invasor (scripts, imagens externas, animações).

Exigências técnicas do formato SVG Tiny-PS:

  • Atributo version="1.2" e baseProfile="tiny-ps" no elemento raiz <svg>
  • ViewBox quadrada (o logo deve ser quadrado, por exemplo viewBox="0 0 100 100")
  • Tamanho do arquivo inferior a 32 KB
  • Nenhum script JavaScript (<script>)
  • Nenhum estilo CSS externo ou interno (<style>, style=)
  • Nenhuma imagem externa (<image> com URL)
  • Nenhuma animação (<animate>, <animateTransform>)
  • Nenhum link (<a>)
  • Elemento <title> obrigatório (acessibilidade)

A maioria dos logos corporativos em formato SVG padrão não atende a essas restrições. Eles contêm estilos CSS inline, elementos <defs> com gradientes complexos ou imagens incorporadas em base64. Uma conversão é quase sempre necessária.

Para converter seu logo para o formato SVG Tiny-PS, use o conversor SVG BIMI do CaptainDNS. A ferramenta valida automaticamente a conformidade e sinaliza os elementos não autorizados.

Para um guia detalhado sobre a criação e conversão do logo, consulte o guia de criação de logo BIMI.

Uma marca registrada (somente VMC)

Para um VMC, a CA verifica se o logo submetido corresponde a uma marca registrada ativa em um escritório de propriedade intelectual reconhecido. Essa verificação é a etapa mais longa e restritiva do processo VMC.

Escritórios reconhecidos: as CAs aceitam marcas registradas em escritórios membros da OMPI (Organização Mundial da Propriedade Intelectual) e em certos escritórios nacionais. Os principais: INPI (França), EUIPO (União Europeia), USPTO (Estados Unidos), UKIPO (Reino Unido), CIPO (Canadá), IP Australia, DPMA (Alemanha), OEPM (Espanha), UIBM (Itália). Se sua marca está registrada em um país não coberto, verifique com a CA antes de fazer o pedido.

Tipo de marca: a marca deve ser figurativa (contendo um elemento gráfico). Marcas verbais (somente texto) não são suficientes. Essa é uma armadilha frequente: uma empresa que registrou seu nome de marca em texto, mas não seu logo, não pode obter um VMC. O logo submetido à CA deve corresponder visualmente à marca registrada. Variações menores (cor, proporções) podem ser aceitas, mas uma divergência significativa provoca a rejeição.

Estado da marca: a marca deve estar ativa (não expirada, não em processo de anulação ou contestação). A CA verifica o estado na base de dados do escritório correspondente. Se sua marca expira nos próximos meses, renove-a antes de solicitar o VMC.

Custo do registro de marca (se você não tem uma):

  • INPI (França): cerca de 190 euros por 10 anos, uma classe. Renovação: cerca de 290 euros
  • EUIPO (União Europeia): cerca de 850 euros por 10 anos, uma classe. Cobertura dos 27 países da UE
  • USPTO (Estados Unidos): cerca de 250-350 $ por classe

Prazo do registro: entre 4 e 12 meses, dependendo do escritório e da ausência de oposição. Se você ainda não tem marca registrada e quer um VMC, o registro da marca é o fator limitante. Preveja no mínimo 6 meses entre o depósito e a obtenção do VMC.

Uma prova de uso de 12 meses (somente CMC)

Para um CMC, a CA não verifica marca registrada. Ela verifica que o logo foi utilizado publicamente pela organização por pelo menos 12 meses. A lógica é simples: se um logo está associado à sua organização de forma contínua e documentável, ele merece ser autenticado mesmo sem registro de marca.

Provas aceitas:

  • Capturas de tela do seu site via web.archive.org mostrando o logo há 12 meses e hoje
  • Faturas, folhetos, catálogos datados com o logo
  • Publicações em redes sociais (LinkedIn, X/Twitter) com data
  • Materiais de marketing, press releases, capturas de e-mail

O que a CA verifica:

  • O logo está atualmente exibido em um site que você controla
  • O mesmo logo (ou uma variante muito próxima) estava exibido nesse mesmo domínio pelo menos 12 meses antes
  • O logo está claramente associado à organização solicitante (não é um logo genérico ou imagem de banco de imagens)

Vantagem do CMC: o processo é mais flexível e mais rápido que o VMC. Não é necessária marca registrada, sem verificação nas bases da OMPI, sem correspondência exata com um registro oficial. Se seu logo é estável e utilizado publicamente há mais de um ano, o CMC é uma opção realista que leva entre 1 e 4 semanas.

Limitação: se sua organização é recente (menos de 12 meses de existência) ou se você acabou de trocar de logo, não é possível obter um CMC imediatamente. É preciso esperar que o logo acumule 12 meses de uso público documentável.

O processo de validação passo a passo

O processo de validação é o cerne do percurso de obtenção de um certificado BIMI. É também a etapa onde a maioria dos atrasos ocorre, quase sempre por causa de documentos incompletos ou logo não conforme. Veja o detalhamento para os dois tipos de certificado.

Validação de um VMC: as cinco etapas

Etapa 1: validação de organização (OV)

A CA verifica a existência jurídica da sua organização. Ela solicita documentos oficiais:

  • Para uma empresa francesa: extrato Kbis com menos de 3 meses
  • Para uma empresa americana: articles of incorporation, certificate of good standing
  • Para uma empresa europeia: extrato do registro comercial do país correspondente

A CA verifica se a organização está ativa, se o endereço corresponde aos dados públicos e se o contato solicitante está autorizado a agir em nome da organização. Essa etapa pode exigir uma ligação telefônica de verificação ao número oficial da empresa (verificado em diretório público).

Etapa 2: verificação da marca registrada

A CA solicita o número de registro da marca e o escritório de depósito. Ela verifica:

  • A existência da marca na base de dados do escritório (INPI, EUIPO, USPTO etc.)
  • O status ativo da marca (não expirada, não anulada)
  • A correspondência visual entre o logo submetido e a marca registrada
  • A propriedade ou a licença de uso (a organização solicitante deve ser a titular ou possuir uma licença explícita)

É a etapa mais longa do processo VMC. A verificação visual pode exigir idas e vindas se o logo submetido diferir da marca registrada (cores diferentes, versão simplificada, variante para o digital). Prepare uma versão do logo o mais próxima possível da marca registrada.

Etapa 3: verificação do domínio

A CA verifica se você controla o domínio remetente. Dois métodos comuns:

  • DNS TXT: a CA fornece um valor único para publicar como registro TXT no seu domínio. Ela verifica a presença desse registro em seguida
  • E-mail: a CA envia um e-mail para um endereço convencional do domínio (admin@, postmaster@, webmaster@) com um link de confirmação

O método DNS TXT é o mais rápido e confiável. Leva poucos minutos se você tem acesso à sua zona DNS.

Etapa 4: verificação do logo SVG

Você submete o arquivo SVG Tiny-PS à CA. Ela verifica a conformidade técnica (formato, tamanho, ausência de elementos proibidos) e a correspondência visual com a marca registrada. Se o arquivo não estiver conforme, a CA o rejeita com um relatório de erros.

Etapa 5: emissão do certificado PEM

Após todas as verificações serem aprovadas, a CA emite o certificado no formato PEM. O arquivo contém o certificado da marca, a cadeia intermediária e, às vezes, o logo SVG codificado. Você baixa esse arquivo e deve hospedá-lo em um servidor HTTPS acessível publicamente.

Validação de um CMC: as cinco etapas

Etapa 1: validação de organização (OV)

Idêntica ao VMC. Mesmos documentos, mesmo processo de verificação. Se você já possui uma validação de organização recente na mesma CA (por exemplo, para um certificado TLS), essa etapa pode ser acelerada.

Etapa 2: verificação do uso do logo

Em vez de verificar uma marca registrada, a CA verifica o uso público do logo por pelo menos 12 meses. Você submete as provas descritas na seção anterior (capturas web.archive.org, documentos datados, publicações). A CA verifica a autenticidade e a coerência dessas provas.

Essa etapa é geralmente mais rápida que a verificação de marca do VMC, pois não depende de um escritório terceiro. Mas exige uma preparação rigorosa: provas incompletas ou ambíguas provocam idas e vindas.

Etapa 3: verificação do domínio

Idêntica ao VMC. DNS TXT ou e-mail de confirmação.

Etapa 4: verificação do logo SVG

Idêntica ao VMC. O logo deve estar no formato SVG Tiny-PS e corresponder visualmente ao logo cujo uso foi comprovado.

Etapa 5: emissão do certificado PEM

Idêntica ao VMC. O certificado CMC tem tecnicamente o mesmo formato do VMC (arquivo PEM contendo um certificado X.509). A única diferença está nos metadados do certificado: o tipo (VMC vs CMC) e o nível de verificação associado.

As armadilhas que atrasam a validação

As CAs processam dezenas de dossiês BIMI por semana. A grande maioria dos atrasos é causada pelos mesmos erros recorrentes:

Logo SVG rejeitado: é a causa de atraso mais frequente. O arquivo SVG submetido contém estilos CSS, scripts, imagens externas ou não possui os atributos de versão corretos. Valide seu logo antes de submetê-lo à CA. Cada ida e vinda adiciona de 3 a 5 dias úteis.

Marca registrada em escritório não reconhecido: certos escritórios nacionais de países menores não estão na lista de escritórios reconhecidos pelas CAs. Verifique com a CA antes de iniciar o processo. Se sua marca está registrada apenas em um escritório não reconhecido, será necessário registrá-la em um escritório aceito (EUIPO é a opção mais abrangente para a Europa) ou optar por um CMC.

Marca verbal em vez de figurativa: uma marca verbal (nome da empresa em texto, sem elemento gráfico) não qualifica para VMC. É necessária uma marca figurativa (logo gráfico). Se você tem apenas uma marca verbal, deve registrar uma marca figurativa (prazo de vários meses) ou optar por um CMC.

Documentos da organização vencidos: um extrato Kbis com mais de 3 meses é geralmente recusado. Um certificado de boa existência expirado também. Solicite seus documentos oficiais logo antes de iniciar o pedido do certificado.

Domínio não verificado: o esquecimento do registro DNS TXT de verificação de domínio é surpreendentemente frequente. Algumas equipes iniciam o pedido de certificado sem ter acesso à zona DNS, o que bloqueia o processo por dias até a coordenação com a equipe de infraestrutura.

Contato não autorizado: a pessoa que inicia o pedido deve estar autorizada a agir em nome da organização. Se a CA não conseguir verificar essa autorização (o contato não aparece como dirigente nos documentos oficiais), ela solicitará uma carta de autorização assinada por um dirigente.

Os prazos reais

Os prazos divulgados pelas CAs são estimativas otimistas. Na prática:

  • VMC com tudo preparado antecipadamente: 2 a 3 semanas. É o caso ideal: documentos da organização recentes, marca registrada claramente identificável, logo SVG conforme, acesso DNS disponível
  • VMC com correções a fazer: 4 a 6 semanas. Uma ida e vinda no logo SVG, um documento a refazer, uma marca a esclarecer: cada correção adiciona uma semana
  • CMC com tudo preparado: 1 a 2 semanas. O processo é mais simples e mais rápido
  • CMC com correções: 2 a 4 semanas

Dica para agilizar: prepare um "dossiê de candidatura" completo antes de fazer o pedido. Reúna em um mesmo diretório: o logo SVG Tiny-PS validado, os documentos da organização atualizados, o número da marca registrada (VMC) ou as provas de uso (CMC), e os acessos DNS do domínio. Submeta tudo de uma vez. Os dossiês completos são processados significativamente mais rápido que os parciais que exigem cobranças adicionais.

Esquema do processo de validação VMC e CMC: da submissão à emissão do certificado PEM

Hospedar seu certificado PEM

Uma vez emitido o certificado pela CA, você recebe um arquivo no formato PEM (extensão .pem). Esse arquivo contém o certificado X.509 codificado em base64, a cadeia intermediária e os metadados da marca. Ele deve ser hospedado em um servidor HTTPS acessível publicamente, pois a URL desse arquivo será referenciada no seu registro DNS BIMI pela tag a=.

O ponto frequentemente descoberto tardiamente: nenhuma das cinco CAs oferece hospedagem do arquivo PEM. Elas emitem o certificado e o entregam a você. A hospedagem é sua responsabilidade.

Três opções para hospedar o PEM

Opção 1: self-hosting (servidor web ou CDN)

Você hospeda o arquivo no seu próprio servidor (nginx, apache) ou via CDN (S3 + CloudFront, Cloudflare R2). As exigências são rigorosas:

  • HTTPS obrigatório (TLS 1.2 no mínimo, certificado de servidor válido)
  • Content-type: application/pkix-cert ou application/pem-certificate-chain
  • Resposta HTTP 200 direta (sem redirecionamentos 301/302)
  • Alta disponibilidade (o arquivo deve estar acessível 24/7 de qualquer lugar do mundo)

Essa opção convém a equipes com infraestrutura própria e equipe de operações. O risco principal é o esquecimento da renovação do certificado TLS do servidor de hospedagem (não confundir com o certificado VMC/CMC em si).

Opção 2: hospedagem pela CA

Algumas CAs oferecem uma URL de hospedagem para o arquivo PEM, mas essa oferta não é sistemática e as condições variam. Verifique com sua CA se essa opção está disponível e se está inclusa no preço do certificado ou cobrada à parte.

Opção 3: serviço dedicado (CaptainDNS)

O CaptainDNS hospeda gratuitamente os certificados VMC e CMC como parte do seu serviço de hospedagem BIMI. O processo é simples:

  1. Crie um perfil BIMI para seu domínio no dashboard do CaptainDNS
  2. Verifique a propriedade do domínio (registro TXT)
  3. Faça upload do seu logo SVG (validado automaticamente no formato Tiny-PS)
  4. Faça upload do seu certificado PEM (VMC ou CMC)
  5. O CaptainDNS extrai automaticamente os metadados do certificado (tipo VMC/CMC, emissor, datas de validade, domínio coberto)
  6. O certificado é servido a partir de assets.captaindns.com com o content-type correto e TLS automático (Let's Encrypt)
  7. O CaptainDNS gera o registro DNS BIMI completo com as URLs corretas

O que o CaptainDNS adiciona em relação ao self-hosting:

  • Extração automática dos metadados do certificado (você vê imediatamente o tipo, o emissor, a data de expiração)
  • Alerta 30 dias antes da expiração do certificado (por e-mail). A renovação de um VMC/CMC leva de 1 a 4 semanas: esse alerta dá tempo de reiniciar o processo sem interrupção
  • Content-type correto garantido (sem configuração manual de servidor)
  • TLS automático via Let's Encrypt (sem certificado de servidor para gerenciar)
  • Estatísticas de acesso (número de requisições, data da última requisição)
  • Gratuito para os 5 primeiros domínios

URL de hospedagem típica: https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem

Para o comparativo detalhado das cinco opções de hospedagem (incluindo o logo SVG), consulte o guia de hospedagem BIMI na seção Guias relacionados.

Implantar e testar seu certificado BIMI

O certificado foi obtido e hospedado. Restam duas etapas: publicar o registro DNS BIMI e verificar que tudo funciona de ponta a ponta.

Publicar o registro DNS BIMI

O registro BIMI é um record TXT publicado sob o nome default._bimi. seguido do seu domínio. Ele contém duas tags principais:

  • l=: URL do logo SVG (ou vazio se o logo está incluído no certificado PEM)
  • a=: URL do certificado PEM (VMC ou CMC)

Exemplo completo com logo e certificado hospedados no CaptainDNS:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg; a=https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem"

Variante sem certificado (modo autodeclarado, aceito pelo Yahoo Mail mas não pelo Gmail):

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg; a=;"

Pontos de controle:

  • O registro está publicado em default._bimi.captaindns.com, não em _bimi.captaindns.com (erro frequente)
  • As duas URLs usam HTTPS (não HTTP)
  • A tag a= aponta para o arquivo PEM completo (com a cadeia intermediária)
  • O registro não contém caracteres parasitas (aspas mal fechadas, espaços extras)

Verificação DNS:

dig +short TXT default._bimi.captaindns.com

Verificar a implantação

Antes de enviar e-mails de teste, verifique cada elo da cadeia:

1. Verificar o registro DNS BIMI

dig +short TXT default._bimi.captaindns.com

O resultado deve conter v=BIMI1 com as tags l= e a= corretamente preenchidas.

2. Verificar a acessibilidade do logo SVG

curl -I https://assets.captaindns.com/bimi/logo/captaindns.com/logo.svg

Esperado: HTTP 200, Content-Type: image/svg+xml, sem redirecionamento.

3. Verificar a acessibilidade do certificado PEM

curl -I https://assets.captaindns.com/bimi/cert/captaindns.com/vmc.pem

Esperado: HTTP 200, content-type adequado, sem redirecionamento.

4. Verificar o registro DMARC

dig +short TXT _dmarc.captaindns.com

Esperado: p=quarantine ou p=reject, pct=100.

5. Usar a ferramenta de verificação BIMI do CaptainDNS

A ferramenta BIMI Record Check do CaptainDNS verifica automaticamente toda a cadeia: resolução DNS do registro BIMI, acessibilidade HTTPS do logo e do certificado, validade do certificado (datas, emissor, tipo), conformidade do logo SVG Tiny-PS. Ela sinaliza os erros com mensagens explicativas e sugestões de correção.

Testar a exibição nas caixas de entrada

Após as verificações técnicas, envie e-mails de teste para os principais provedores:

Gmail: envie um e-mail do seu domínio para uma conta Gmail. O logo deve aparecer ao lado do nome do remetente. Se você tem um VMC, o checkmark azul (marca de verificação) deve estar visível. A exibição pode levar algumas horas após a publicação do registro BIMI (o Gmail armazena em cache os resultados BIMI).

Apple Mail: verifique no iOS e no macOS. O Apple Mail exibe o logo somente se o servidor de e-mail (iCloud, no caso de uma conta Apple) verificou o certificado VMC. O CMC não é suportado pelo Apple Mail.

Yahoo Mail: o Yahoo Mail é o provedor mais permissivo. Ele exibe o logo BIMI mesmo sem certificado (modo autodeclarado). Se seu logo aparece no Yahoo Mail mas não no Gmail, o problema provavelmente está no certificado, não no registro DNS ou no logo.

Prazo de exibição: conte algumas horas a alguns dias. Os provedores de e-mail armazenam em cache os registros BIMI e os logos. Uma mudança de certificado ou logo pode levar até 72 horas para se propagar completamente. Não entre em pânico se o logo não aparecer imediatamente após a publicação do registro DNS.

Matriz de compatibilidade BIMI: Gmail, Apple Mail, Yahoo Mail com VMC, CMC e autodeclarado

Orçamento total real: VMC vs CMC

Os preços dos certificados representam apenas parte do orçamento. Para tomar uma decisão informada, é preciso considerar todos os itens de despesa no primeiro ano e nos anos seguintes.

Item de despesaVMCCMC
Certificado BIMI (anual)749-1688 $650-1100 $
Marca registrada INPI (10 anos, 1 classe)~190 eurosNão exigido
Marca registrada EUIPO (10 anos, 1 classe)~850 eurosNão exigido
Logo SVG Tiny-PS (conversão por designer)200-500 euros200-500 euros
Hospedagem logo + certificado (CaptainDNS)GratuitoGratuito
Configuração DMARC (incluída no DNS existente)0 euros0 euros
Total estimado ano 1 (com INPI)~1200-2500 euros~800-1500 euros
Total estimado ano 1 (com EUIPO)~1900-3200 euros~800-1500 euros
Total estimado anos seguintes~700-1600 euros/ano~600-1000 euros/ano

Notas sobre o orçamento:

O custo da marca registrada é um investimento pontual amortizado em 10 anos. Dividido pelo custo anual, adiciona cerca de 19 euros por ano (INPI) ou 85 euros por ano (EUIPO). Mas o investimento inicial pode pesar na decisão.

O item "Logo SVG Tiny-PS" corresponde à conversão de um logo existente para o formato Tiny-PS por um designer gráfico. Se seu logo é simples (formas geométricas, cores sólidas), a conversão pode ser feita internamente sem custo. Se seu logo é complexo (degradês, efeitos, tipografia elaborada), um designer especializado pode cobrar entre 200 e 500 euros por uma conversão adequada.

A hospedagem do logo e do certificado é gratuita com o CaptainDNS (até 5 domínios). Em self-hosting, o custo é quase nulo se você já tem infraestrutura (alguns centavos por mês em armazenamento cloud). Ao usar uma plataforma DMARC integrada, a hospedagem está incluída na assinatura (50-500 $/mês).

O custo real mais subestimado não é financeiro: é o tempo. O tempo de preparação dos documentos, de validação com a CA, de configuração DNS, de testes. Para um VMC, conte entre 20 e 40 horas de trabalho técnico e administrativo distribuídas em 2 a 6 semanas. Para um CMC, entre 10 e 20 horas em 1 a 4 semanas.

Plano de ação recomendado para implantar BIMI

Aqui está o percurso ideal para obter e implantar seu certificado BIMI, da preparação à exibição do logo na caixa de entrada.

1. Verificar seus pré-requisitos

Antes de qualquer ação, valide os quatro pré-requisitos: DMARC em enforcement (p=quarantine ou p=reject), logo no formato SVG Tiny-PS (ou conversível), marca registrada ativa se você visa um VMC (ou provas de uso se visa um CMC), e acesso à zona DNS do domínio remetente. Se um pré-requisito estiver faltando, trate-o como prioridade. Um pré-requisito ausente no momento do pedido do certificado pode atrasar todo o processo em várias semanas.

2. Escolher VMC ou CMC

Use a árvore de decisão descrita na primeira seção deste artigo. Se você tem uma marca registrada figurativa e o checkmark do Gmail é importante para sua estratégia, escolha o VMC. Em todos os outros casos, o CMC é a escolha pragmática: mais barato, mais rápido, suficiente para exibir o logo no Gmail.

3. Comparar as CAs e fazer o pedido

Consulte a tabela comparativa das cinco CAs. Para o melhor custo-benefício, a Sectigo é a opção mais competitiva. Para confiabilidade do processo e acompanhamento, DigiCert ou Entrust são as referências. Reúna seu "dossiê de candidatura" completo antes de fazer o pedido para minimizar idas e vindas.

4. Hospedar logo e certificado no CaptainDNS

Enquanto a CA processa seu dossiê, configure a hospedagem. Crie um perfil BIMI no CaptainDNS, verifique seu domínio, faça upload do seu logo SVG. Quando o certificado PEM for emitido, bastará fazer upload para completar a configuração.

5. Publicar o registro DNS e testar

Copie o registro DNS BIMI gerado pelo CaptainDNS para sua zona DNS. Verifique a cadeia completa (DNS, HTTPS, certificado, DMARC). Envie e-mails de teste para Gmail, Apple Mail e Yahoo Mail. Monitore os relatórios DMARC nos primeiros dias para detectar eventuais problemas de alinhamento.

FAQ

É necessário um certificado VMC para exibir um logo BIMI?

Não. O Yahoo Mail exibe o logo BIMI sem nenhum certificado (autodeclarado). O Gmail exibe o logo com um VMC ou CMC, mas somente o VMC ativa o checkmark azul. O Apple Mail exige VMC. O certificado não é obrigatório para todos os provedores, mas é recomendado para o Gmail.

Qual é a diferença entre VMC e CMC?

O VMC (Verified Mark Certificate) exige marca registrada e ativa o checkmark azul no Gmail. O CMC (Common Mark Certificate) não exige marca registrada: basta comprovar o uso do logo por 12 meses. O CMC exibe o logo no Gmail sem o checkmark azul. Ambos são certificados X.509 no formato PEM.

Quanto custa um certificado VMC?

Entre 749 e 1688 $ por ano, dependendo da autoridade de certificação. A Sectigo oferece os preços mais baixos (~749 $/ano via revendedores), enquanto DigiCert e Entrust ficam em torno de 1499 $/ano. A esse custo se soma o da marca registrada, caso você não tenha uma (190 euros no INPI, 850 euros no EUIPO).

É possível obter um certificado BIMI gratuitamente?

Não. Os certificados VMC e CMC são pagos (mínimo de 650 $ por ano). Em compensação, a hospedagem do certificado pode ser gratuita: o CaptainDNS hospeda seu arquivo PEM sem custo para 5 domínios. E o Yahoo Mail exibe o logo BIMI sem nenhum certificado.

Quais são os pré-requisitos para comprar um VMC?

Quatro pré-requisitos: um registro DMARC em enforcement (p=quarantine ou p=reject), um logo no formato SVG Tiny-PS, uma marca registrada ativa cobrindo o logo e o controle do domínio remetente. Sem marca registrada, opte por um CMC.

Quanto tempo leva para obter um certificado VMC?

Conte de 2 a 6 semanas. A validação da marca registrada é a etapa mais longa. Para um CMC, o prazo é de 1 a 4 semanas. Preparar todos os documentos antecipadamente (Kbis, número da marca, logo SVG) agiliza significativamente o processo.

O certificado VMC garante a exibição do logo em todas as caixas de entrada?

Não. O VMC garante a exibição no Gmail (com checkmark azul) e no Apple Mail. O Yahoo Mail exibe o logo sem certificado. O Microsoft Outlook ainda não suporta BIMI. A compatibilidade depende de cada provedor de e-mail.

O que acontece quando um certificado VMC ou CMC expira?

O Gmail e o Apple Mail param de exibir seu logo. O registro BIMI DNS permanece válido, mas o certificado não é mais verificado. A renovação leva o mesmo prazo da obtenção inicial. O CaptainDNS envia um alerta 30 dias antes da expiração para antecipar.

Baixe as tabelas comparativas

Assistentes conseguem reutilizar os números consultando os ficheiros JSON ou CSV abaixo.

Glossário

  • VMC (Verified Mark Certificate): certificado X.509 emitido por uma CA credenciada, vinculado a uma marca registrada, que autentica o logo BIMI e ativa o checkmark azul no Gmail.
  • CMC (Common Mark Certificate): certificado X.509 similar ao VMC, mas sem exigência de marca registrada. Baseado em prova de uso do logo por 12 meses.
  • BIMI (Brand Indicators for Message Identification): padrão de e-mail (RFC 9495) que permite aos remetentes exibir seu logo nas caixas de entrada dos destinatários.
  • PEM (Privacy Enhanced Mail): formato de arquivo texto codificado em base64 usado para armazenar certificados digitais.
  • SVG Tiny-PS (Tiny Portable/Secure): perfil restrito do formato SVG, imposto pelo BIMI por razões de segurança.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): protocolo de autenticação de e-mail que coordena SPF e DKIM.

Hospede seu certificado VMC ou CMC gratuitamente: o CaptainDNS hospeda seu arquivo PEM com extração automática de metadados, alertas de expiração e estatísticas de acesso. Crie seu perfil BIMI pela ferramenta de hospedagem acessível pelo botão no topo deste artigo.

Fontes

Guias de BIMI relacionados

Artigos relacionados