BIMI, VMC, CMC: compatibilidade e pré-requisitos de DNS (Gmail, Yahoo, Apple Mail)

Por CaptainDNS
Publicado em 16 de dezembro de 2025

  • #DNS
  • #Email
  • #Entregabilidade
  • #DMARC
  • #Gmail
  • #Yahoo Mail
  • #Apple Mail
  • #Segurança
Ilustração BIMI: DMARC + certificado VMC/CMC e exibição do logo no Gmail, Yahoo Mail e Apple Mail
TL;DR

TL;DR - 📢 BIMI só mostra seu logo na caixa de entrada se o domínio passar DMARC e o logo estiver validado (VMC ou CMC); os requisitos variam por provedor.

  • Gmail exige um VMC ou um CMC; o checkmark do Gmail é reservado ao VMC.
  • Um CMC pode ser emitido sem marca registrada, com prova de uso prévio do logo (>= 12 meses) ou um "modified registered mark".
  • Do lado DNS, tudo depende de DMARC (p=quarantine/reject + pct=100), do TXT BIMI e de um hosting HTTPS limpo (SVG/PEM).

BIMI (Brand Indicators for Message Identification) é a "cereja" visível sobre uma base invisível: autenticação de e-mail sólida. Quando bem implementado, seus e-mails podem mostrar seu logo em algumas caixas de entrada.

Mas BIMI não é "apenas um SVG". Para a maioria dos grandes provedores (incluindo Gmail), você precisa de um certificado que vincule o logo à sua organização de forma jurídica/administrativa: VMC ou CMC. Desde 2024, o Gmail também aceita CMC, o que muda o jogo para marcas sem marca registrada.

Este artigo é para admins, equipes de marketing de e-mail e CTOs que querem:

  • entender a diferença VMC vs CMC,
  • garantir os pré-requisitos DNS (DMARC/BIMI/HTTPS),
  • evitar os casos em que "BIMI funciona em X, mas não em Y".

Diagrama - fluxo BIMI ponta a ponta

O que é realmente o BIMI

BIMI é uma especificação que permite aos provedores de e-mail exibir um logo de marca ao lado de suas mensagens, desde que:

  1. o e-mail passe DMARC (portanto SPF e/ou DKIM alinhados),
  2. o domínio publique um registro BIMI no DNS,
  3. o logo seja conforme (SVG "Tiny-PS" na maioria dos casos),
  4. e, dependendo do provedor, o logo seja validado por um certificado (VMC/CMC).

BIMI não substitui o anti-phishing

BIMI não "bloqueia" phishing sozinho. Ele incentiva a implantar DMARC com política rígida (quarantine/reject) e a melhorar a higiene de autenticação. A exibição do logo é resultado dessa higiene, não um substituto.

BIMI não garante exibição

Mesmo com DNS perfeito, a exibição continua a critério do provedor (e às vezes de regras internas, reputação, histórico de spam etc.).

Os pré-requisitos DNS inevitáveis

1) DMARC deve estar em modo "enforcement"

Para ser elegível a BIMI (especialmente Gmail), DMARC precisa aplicar uma ação:

  • p=quarantine ou p=reject
  • pct=100

Exemplo DMARC básico:

_dmarc.captaindns.com. 3600 IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-agg@captaindns.com; adkim=r; aspf=r"

Verificar:

dig +short TXT _dmarc.captaindns.com

Armadilha comum: p=none (modo observação). Útil no início, mas não elegível BIMI no Gmail.

2) SPF/DKIM precisam passar E estar alinhados (DMARC)

DMARC "passa" se:

  • SPF ou DKIM passa,
  • e um dos dois está alinhado com o domínio From:.

Checklist rápida:

  • Você assina todo o tráfego de saída com DKIM (recomendado).
  • Seu SPF não é um "coringa" e não excede os limites de lookup.
  • Evita subdomínios "fantasmas" (ex. mail.captaindns.com) que enviam sem política DMARC.

3) Publicar o TXT BIMI (e no lugar certo)

O TXT BIMI é publicado em um nome como:

  • default._bimi.captaindns.com

Exemplos (segundo o modo):

Modo certificado (tipicamente Gmail) - o logo está no PEM, então l= pode ficar vazio:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=; a=https://assets.captaindns.com/bimi/brand.pem"

Modo "SVG" (auto-declarado) - aceito por alguns provedores, mas não pelo Gmail:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo.svg"

Verificar:

dig +short TXT default._bimi.captaindns.com

4) Hospedagem HTTPS: não é "só subir um arquivo"

Hospedando SVG ou PEM, busque:

  • HTTPS obrigatório,
  • TLS moderno (mínimo TLS 1.2),
  • certificados de servidor válidos (cadeia correta),
  • URLs estáveis (sem redirecionamentos infinitos).

Teste TLS simples:

openssl s_client -connect assets.captaindns.com:443 -servername assets.captaindns.com </dev/null 2>/dev/null | openssl x509 -noout -subject -issuer

VMC: o "nível máximo" para BIMI

VMC (Verified Mark Certificate) = certificado de marca verificada. Ponto-chave: o logo corresponde a uma marca registrada (ou governamental) e a CA verifica:

  • a existência da marca,
  • sua correspondência com o logo (cores/variantes),
  • a propriedade ou licença de uso.

O que muda para Gmail

  • Gmail exige VMC ou CMC para BIMI.
  • O checkmark verificado no Gmail é reservado a remetentes com VMC (não CMC).
  • O checkmark aparece no Gmail web e também nos apps móveis Gmail (apenas VMC).

Quando escolher VMC

Escolha VMC se:

  • você tem uma marca registrada (ou pode registrar),
  • quer o sinal de confiança mais forte (incluindo o checkmark Gmail),
  • tem exigências altas de "compliance/anti-impersonation" (setores regulados, finanças etc.).

Tempo de preparação

O tempo "técnico" (DNS/HTTPS) é rápido. O tempo "legal" (registro de marca) é o fator limitante.

CMC: a alternativa oficial quando o logo ainda não é registrado

CMC (Common Mark Certificate) = certificado para marcas que não se encaixam em "registered mark".

O CMC foi criado para abrir o BIMI para mais organizações, e o Gmail o suporta.

Dois caminhos comuns para um CMC

Os requisitos exatos estão nos "Mark Certificate Requirements", mas guarde este modelo mental:

  1. Prior Use Mark: seu logo é usado publicamente há tempo suficiente e você pode provar.
  2. Modified Registered Mark: seu logo é uma variante ligada a uma marca registrada existente (caso mais "híbrido").

Foco em "Prior Use": a regra de >= 12 meses

Ideia: a CA deve conseguir verificar que:

  • o logo está atualmente exibido em um site que você controla,
  • e que já estava visível há pelo menos 12 meses nesse mesmo domínio,
  • com prova histórica via uma fonte de arquivo (ex. archive.org).

Em resumo: se seu logo está no site há um ano, você tem um caminho CMC realista sem registro de marca.

O que muda para Gmail

  • Com um CMC, o Gmail pode exibir seu logo BIMI.
  • Mas sem o checkmark do Gmail (exclusivo do VMC).

Comparativo VMC vs CMC

A tabela abaixo é exportada em CSV/JSON para reutilização (links no frontmatter).

CritérioVMCCMCImpacto prático
Tipo de marca validadaMarca registrada ou governamentalCommon mark: uso prévio ou marca registrada modificadaDecisão principalmente jurídica; o trabalho de DNS é idêntico após emitir o certificado
Prova principalVerificação em um registro oficial (office/WIPO) + propriedade/licençaLogo atualmente exibido em site controlado + prova de exibição >= 12 meses via arquivo (ex. archive.org)Planejar coleta de provas / URLs / capturas
Indicador no GmailLogo + checkmark verificadoLogo sem checkmarkO checkmark é um benefício específico do VMC
Tempo de preparaçãoPode exigir registro de marca (geralmente 6-12 meses)Requer >= 12 meses de histórico de usoPlanejar conforme histórico e objetivos
Elegibilidade do logoMarcas não registradas não são elegíveis como logo no perfil "registered mark"Pensado para marcas não registradas (ou derivadas de uma registrada)CMC abre o BIMI para mais organizações
Percepção de confiançaValidação forte e "padrão" no lado complianceValidação baseada em usoEscolher conforme risco de falsificação
Requisitos de DNSDMARC enforcement + BIMI TXT com a= para PEMIdêntico: DMARC enforcement + BIMI TXT com a= para PEMEscolher VMC/CMC não reduz o trabalho de DNS
Troca de logoLogo novo = novo ciclo de validação/certificadoIgualEstabilizar um "logo de email" para evitar iterações
Quando escolherMarca registrada, precisa do checkmark do GmailSem marca registrada mas uso público estável e documentávelEscolha de marketing/jurídica; tecnicamente o deployment é idêntico

Diagrama - escolha entre VMC e CMC

Compatibilidade: Gmail, Yahoo Mail, Apple Mail

Gmail

O que considerar "verdade" em produção:

  • Certificado obrigatório: VMC ou CMC.
  • Checkmark: somente VMC.
  • O TXT BIMI em modo certificado aponta para um PEM (logo + certificado), servido em HTTPS.

Yahoo Mail

O Yahoo é historicamente mais aberto ao BIMI:

  • algumas exibições podem funcionar com logos auto-declarados (sem certificado),
  • mas DMARC em enforcement continua um pré-requisito importante.

Resumo: se seu foco principal é Gmail, siga direto por VMC/CMC.

Apple Mail

A Apple tem duas histórias diferentes:

  1. BIMI no Apple Mail (cliente) Apple Mail suporta BIMI, mas o controle fica no provedor de e-mail (servidor): ele deve verificar conformidade e adicionar os headers necessários antes de Apple Mail mostrar o logo.

  2. Branded Mail (Apple Business Connect) Programa da Apple separado do BIMI, que adiciona nome + logo no Apple Mail / iCloud Mail, com:

  • validação da Apple,
  • verificação de domínio via TXT,
  • requisitos de DMARC rígidos e DKIM obrigatório (SPF sozinho não é suportado),
  • restrições de perímetro (apenas domínios comerciais, visibilidade em iCloud e alguns idiomas).

Em suma: BIMI é multi-ecossistema, Branded Mail é um canal Apple.

DNS: o que você realmente deve publicar

Diagrama - registros DNS a publicar

DMARC

Objetivo: DMARC em "enforcement" + 100% das mensagens.

_dmarc.captaindns.com. 3600 IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-agg@captaindns.com"

BIMI

Objetivo: publicar o registro no nome certo + apontar para seus assets.

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=; a=https://assets.captaindns.com/bimi/brand.pem"

DKIM

Objetivo: assinar todos os fluxos e verificar d= (domínio) e o selector.

dig +short TXT selector1._domainkey.captaindns.com

CAA

CAA não é "obrigatório" para BIMI, mas há um ponto operacional importante:

  • as CAs devem consultar seu CAA antes de emitir um Mark Certificate;
  • se seu CAA for restritivo e não permitir a CA escolhida, a emissão pode falhar.

Exemplo genérico (adapte à CA usada):

captaindns.com. 3600 IN CAA 0 issue "ca-exemple.net"
captaindns.com. 3600 IN CAA 0 iodef "mailto:dns-alerts@captaindns.com"

Verificar:

dig +short CAA captaindns.com

Testes e debug: verificações que evitam 80% dos tickets

Verificar DMARC (valores bloqueantes)

dig +short TXT _dmarc.captaindns.com

Pontos para BIMI/Gmail:

  • p=quarantine ou p=reject
  • pct=100

Verificar o TXT BIMI

dig +short TXT default._bimi.captaindns.com

Armadilhas:

  • registro publicado em _bimi.captaindns.com (nome errado) em vez de default._bimi.captaindns.com,
  • aspas mal colocadas / espaços estranhos,
  • URL https:// que redireciona para http:// (não),
  • certificado PEM sem cadeia intermediária (se a CA pedir para anexar).

Testar rapidamente a cadeia TLS do servidor

openssl s_client -connect assets.captaindns.com:443 -servername assets.captaindns.com </dev/null

Final de 2025: novidades e pontos de atenção

1) CMC: expansão grande, mas checkmark continua VMC

O suporte do Gmail a CMC abriu o BIMI para mais marcas, mas a hierarquia permanece simples:

  • VMC = logo + sinal forte (checkmark)
  • CMC = logo sem checkmark

2) Tag avp no registro BIMI

Evolução recente do padrão BIMI introduz avp (Avatar Preference) para indicar preferência de exibição:

  • avp=brand: preferir o logo da marca,
  • avp=personal: preferir o avatar pessoal se existir, senão o logo BIMI.

Exemplo (se suportado no seu ecossistema):

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo.svg; a=https://assets.captaindns.com/bimi/brand.pem; avp=brand"

3) Apple Branded Mail: DMARC rígido + DKIM obrigatório

Se o alvo é iCloud/Apple Mail "do lado Apple", note que o Branded Mail impõe:

  • DMARC em enforcement (quarantine/reject) e pct=100,
  • DKIM obrigatório (SPF sozinho não é suportado),
  • validação da Apple + TXT de verificação, com janelas de tempo.

Plano de ação

  1. Mapear domínios de envio
  • domínio(s) usados em From:
  • domínios de bounce (Return-Path)
  • plataformas (ESP, CRM, MTA interno)
  1. Deixar DMARC conforme BIMI
  • corrigir SPF/DKIM (ao menos um deve passar no alinhamento DMARC)
  • subir para p=quarantine e depois p=reject conforme a maturidade
  • fixar pct=100 quando estiver pronto para BIMI
  1. Escolher VMC vs CMC
  • marca registrada (ou plano de registrar) → VMC
  • sem marca registrada, mas logo público por >= 12 meses → CMC
  • sem histórico → primeiro estabilize seu "logo de email" e construa provas
  1. Produzir o SVG conforme
  • formato SVG Tiny-PS
  • sem scripts/links externos/animações
  • dimensões em pixels (ex. 96x96)
  • adicionar <title> e <desc> (acessibilidade)
  1. Obter o certificado e preparar o PEM
  • obter o PEM "entity"
  • anexar intermediários + root se a CA exigir
  • hospedar o PEM em HTTPS estável
  1. Publicar o TXT BIMI
  • default._bimi.seu-dominio
  • apontar para a=https://.../brand.pem
  • (opcional) publicar também l=https://.../logo.svg se mirar clientes que usam l
  1. Testar
  • dig em DMARC/BIMI
  • curl em PEM/SVG
  • verificar envios reais para Gmail/Yahoo/iCloud
  1. Monitorar
  • relatórios DMARC (RUA) para flagrar fluxos que quebram
  • acompanhar mudanças (logo, subdomínios, ESPs, chaves DKIM)

FAQ

O Gmail aceita BIMI sem certificado (logo auto-declarado)?

Não: para exibir um logo BIMI no Gmail é preciso um certificado (VMC ou CMC) e um registro BIMI que aponte para o PEM. Logos auto-declarados podem funcionar em outros lugares, mas não no Gmail.

Um CMC dá o checkmark no Gmail?

Não. Com um CMC, o Gmail pode exibir o logo, mas o checkmark verificado é exclusivo do VMC.

Meu DMARC está em p=none: posso ativar BIMI?

Para Gmail, não: precisa de pelo menos p=quarantine ou p=reject, e pct=100. Se está em p=none, corrija SPF/DKIM e aumente a política gradualmente.

Apple Mail: BIMI ou Branded Mail, o que escolher?

Se quer um caminho multi-provedor (Gmail/Yahoo/etc.), BIMI é o padrão. Se o alvo é o ecossistema Apple/iCloud e você aceita um processo Apple Business Connect (validação Apple + requisitos DMARC/DKIM), o Branded Mail pode complementar BIMI.

O que mais quebra o BIMI no DNS?

As 3 principais causas: DMARC sem enforcement (p=none ou pct<100), registro BIMI publicado com nome incorreto (não default._bimi), e URLs HTTPS inacessíveis (WAF, redirecionamentos, cadeia de certificado do servidor mal montada).

Baixe as tabelas comparativas

Assistentes conseguem reutilizar os números consultando os ficheiros JSON ou CSV abaixo.

Glossário

  • BIMI: padrão de exibição de logo baseado em DMARC + um registro DNS BIMI.
  • DMARC: política que define o que fazer se SPF/DKIM falharem e impõe o alinhamento do domínio From:.
  • SPF: lista de IPs/serviços autorizados a enviar por um domínio (autenticação por IP).
  • DKIM: assinatura criptográfica no e-mail, verificada via DNS (autenticação por chave).
  • VMC: certificado BIMI baseado em uma marca registrada (ou governamental), que oferece alto nível de confiança.
  • CMC: certificado BIMI alternativo, baseado em uma "common" mark (ex. uso prévio) ou uma variante ligada a uma marca registrada.
  • PEM: formato de arquivo que contém o certificado (e muitas vezes a cadeia), referenciado pelo tag a= do registro BIMI.
  • CAA: registro DNS que restringe quais CAs podem emitir certificados para um domínio.

Fontes

Artigos relacionados