BIMI Checker

O que esta ferramenta faz

O BIMI Checker executa quatro operações encadeadas no domínio introduzido:

• Lookup DNS em default._bimi.<dominio> para recuperar o registo TXT e detetar duplicados ou um CNAME proibido.
• Descarga e validação do logo SVG apontado pela tag l=: formato, conformidade ao perfil SVG Tiny-PS (RFC 9043), viewBox quadrado, tamanho razoável.
• Descarga e análise do VMC apontado pela tag a=: autoridade emissora, validade, presença do trustmark BIMI, expiração.
• Lookup DMARC em _dmarc.<dominio> para verificar o pré-requisito estrito (p=quarantine ou p=reject com pct=100).

O resultado agrega os findings numa pontuação 0 a 100, seis dimensões, recomendações ordenadas por prioridade e um cartão VMC compacto.

Como funciona BIMI

BIMI (Brand Indicators for Message Identification, RFC 9043) permite que um domínio associe o seu logo oficial às mensagens que envia. Três componentes devem alinhar-se:

1. Um registo DNS TXT publicado em default._bimi.<dominio> no formato v=BIMI1; l=<url_logo_svg>; a=<url_vmc> (a tag a= é opcional segundo a spec mas necessária na prática).
2. Um logo SVG conforme ao perfil Tiny-PS: viewBox quadrado, sem scripts, sem referências externas, sem fontes incorporadas não autorizadas.
3. Um certificado VMC ou CMC (Verified Mark Certificate ou Common Mark Certificate) emitido pela DigiCert ou Entrust, assinado por uma CA mark reconhecida, contendo um OID "BIMI Indicator Trustmark".

O pré-requisito não negociável: a política DMARC do domínio deve ser p=quarantine ou p=reject com pct=100. Com p=none ou um pct parcial, o Gmail, Apple Mail e Yahoo não exibem o logo, independentemente da qualidade do registo BIMI.

O alignment DKIM ou SPF (consoante o modo adkim ou aspf) permanece necessário no envio para que as mensagens passem DMARC e desencadeiem a exibição do logo.

Quando utilizar o BIMI Checker

• Após a publicação DNS para confirmar que o registo está propagado e legível pelos destinatários.
• Quando o logo não aparece no Gmail, Apple Mail ou Yahoo apesar de um deployment alegadamente completo.
• Antes da renovação anual do VMC para medir o tempo restante e planear a encomenda junto da CA.
• Auditoria de marca num domínio secundário (subdomínio de marketing, domínio de filial) antes da publicação.
• Verificação da cadeia completa (record, logo, VMC, DMARC) em caso de migração do fornecedor de logo ou da autoridade de certificação.

As seis dimensões da pontuação

Um registo sintaticamente inválido limita a pontuação a 30. Uma política DMARC em p=none também a limita a 30 e força o veredito critical: a cadeia BIMI está tecnicamente publicada mas inoperante.

Diagnósticos comuns e soluções

Registo em falta

A ferramenta não encontrou nenhum TXT em default._bimi.<dominio>. Crie o registo com, no mínimo, v=BIMI1; l=https://captaindns.com/bimi/logo.svg. Publique no DNS e aguarde o tempo de propagação.

DMARC demasiado permissivo

A ferramenta deteta p=none ou um pct inferior a 100. BIMI é inoperante no Gmail, Apple Mail e Yahoo. Reforce a política DMARC, idealmente para p=reject; pct=100, após uma fase de observação com os relatórios rua.

VMC em falta

A tag a= está ausente do registo enquanto l= está presente. Os renderizadores modernos necessitam de um VMC para exibir o logo. Encomende um VMC à DigiCert ou Entrust (conte com 1000 a 1500 USD por ano e 2 a 4 semanas de verificação), aloje o PEM em HTTPS e adicione a=<url> ao registo.

Logo não conforme

O SVG descarregado contém elementos proibidos (scripts, foreignObject, referências externas, viewBox não quadrado). Use o BIMI Validator para identificar cada elemento a corrigir e republique o SVG limpo.

VMC a expirar

O certificado válido expira em menos de 60 dias. Antecipe a renovação junto da CA. Um VMC expirado corta imediatamente a exibição do logo, sem alerta do lado do webmail.

Limitações e pontos técnicos

• Cache de logo do webmail: uma alteração de logo pode demorar vários dias a aparecer aos destinatários. Não é um bug BIMI mas um comportamento de cache.
• Selector: a spec permite seletores diferentes de default através do cabeçalho BIMI-Selector. Esta ferramenta consulta default._bimi.<dominio>, que cobre praticamente todos os deployments.
• CMC versus VMC: os Common Mark Certificates (marcas não registadas) são suportados apenas por alguns webmails. O VMC continua a ser a referência para o Gmail e o Yahoo.
• Assinatura DKIM: a tag a= do registo BIMI designa o VMC, não uma chave DKIM. Não confundir estes dois componentes.
• Apple Mail exibe o logo BIMI mesmo sem VMC quando DMARC é estrito, ao contrário do Gmail e do Yahoo.

Ferramentas complementares

Perguntas frequentes

P: Porque é que o meu logo BIMI não aparece?

R: Cinco causas comuns: a política DMARC está em p=none ou o pct é inferior a 100, o certificado VMC está em falta ou expirado, o logo SVG não é conforme ao perfil Tiny-PS (scripts, referências externas, viewBox não quadrado), o URL do logo não é acessível via HTTPS, ou o registo BIMI não está publicado em default._bimi.<dominio>. O BIMI Checker diagnostica cada um destes pontos.

P: Qual é a diferença entre BIMI Checker e BIMI Validator?

R: O Checker consulta o DNS para analisar o registo publicado no seu domínio, descarrega o logo e o VMC, verifica DMARC. O Validator analisa a sintaxe de um registo que cola antes da publicação. Fluxo recomendado: Validator antes de publicar, Checker depois.

P: O que significa a pontuação 0 a 100?

R: A pontuação mede o BIMI-readiness do domínio, ou seja, a probabilidade de o logo ser exibido em Gmail, Apple Mail e Yahoo. 90 a 100 = inbox-ready. 75 a 89 = configuração correta com ajustes menores. 50 a 74 = bloqueios a resolver (VMC em falta, DMARC não estrito). Abaixo de 50 ou estado inválido = critical.

P: Quais são as seis dimensões avaliadas?

R: Record (presença DNS, 20 pontos), sintaxe (registo analisável, 15 pontos), DMARC estrito (p=quarantine ou p=reject com pct=100, 20 pontos), logo (SVG Tiny-PS conforme, 20 pontos), VMC (certificado válido não expirado com trustmark, 15 pontos), higiene (URLs razoáveis, sha256, alignment, 10 pontos).

P: O VMC é obrigatório para BIMI?

R: A RFC 9043 não o impõe, mas o Gmail e o Yahoo recusam-se a mostrar o logo sem um Verified Mark Certificate válido. O Apple Mail tolera um deployment sem VMC. Sem VMC, o logo permanece invisível para a maioria dos destinatários.

P: O que verifica a ferramenta em relação a DMARC?

R: A ferramenta executa um lookup em _dmarc.<dominio>, lê a política p, o pct, a política de subdomínios sp e os modos de alignment. O pré-requisito BIMI é p=quarantine ou p=reject com pct=100. Qualquer valor inferior limita a pontuação BIMI a 30 e aciona uma recomendação crítica.

P: O que significa 'logo não conforme Tiny-PS'?

R: O logo SVG contém elementos proibidos pelo perfil SVG Tiny PS definido pela RFC 9043: scripts JavaScript, elementos foreignObject, referências externas (xlink:href para outro URL), fontes incorporadas não autorizadas, ou viewBox não quadrado. O BIMI Validator detalha cada elemento a corrigir.

P: Quanto tempo para ver as alterações BIMI?

R: Dois atrasos somam-se: a propagação DNS (1 a 4 horas com TTL 3600, 24 a 48 horas com TTL 86400) e a cache de logo dos webmails (várias horas a vários dias). Reduza o TTL antes de qualquer alteração para acelerar a propagação.

Recursos úteis

• RFC 9043 - SVG Tiny Portable/Secure (SVG Tiny PS) (perfil SVG oficial para BIMI)
• RFC 7489 - DMARC (pré-requisito DMARC estrito)
• Draft IETF Brand Indicators for Message Identification (especificação BIMI em padronização)
• BIMI Group (AuthIndicators Working Group, documentação e drafts em curso)
• DigiCert Verified Mark Certificates (CA mark para VMCs)
• Entrust Verified Mark Certificates (CA mark para VMCs)
• Requisitos BIMI Gmail (requisitos Google Workspace)