Wat is Brand Indicators for Message Identification (BIMI)?

Wat is BIMI?

BIMI is een standaard die op dit moment in ontwikkeling is waarmee bedrijven er voor kunnen zorgen dat het logo van het bedrijf automatisch wordt weergegeven naast het emails in de inbox van de ontvanger. Het logo wordt hiermee zichtbaar al voordat het bericht geopend is. Hiermee krijgen merken betere zichtbaarheid. Voor ontvangers moet het daarmee ook makkelijker worden om verzenders te herkennen en moeten zij zekerder kunnen zijn van dat het bericht ook echt komt van het betreffende merk. Daardoor zal het ook makkelijker worden om phishing mails te herkennen.

Zoals veel internet technologien wordt BIMI door een groep organisaties ontwikkeld binnen een zogenaamde working group. De working group bestaat op dit moment uit Verizon, Google, LinkedIn, Valimail, ReturnPath en 250ok. De focus van BIMI ligt daarmee duidelijk op de toegevoegde waarde voor de verzendende bedrijven met name op gebied van marketing.

Hoe werkt het?

BIMI werkt doordat een verzendende organisatie een aantal zaken heeft ingesteld waardoor de ontvangende maildienst een controle kan uitvoeren op de echtheid van de mail. Komt het bericht door deze controle heen, dan wordt het logo automatisch opgevraagd en weergegeven.

Veel emaildiensten en –programma's tonen al een foto of icoontje bij de naam van een verzender. Met BIMI zal dit vervangen worden door het logo van het bedrijf. Het is hierbij ook mogelijk om door een bedrijf meerdere logo's op te geven zodat er bij voorbeeld afhankelijk van de afdeling binnen het bedrijf een ander logo (of variant van het logo) getoond wordt.

Toekomstvisie

De leden van de working group geven nu al aan dat het uiteindelijk ook de bedoeling is dat BIMI ook binnen andere systemen behalve email gebruikt moet kunnen worden. Bij voorbeeld door ook telefoonnummers op te nemen zouden logo's bij telefoonoproepen, SMSjes of andere app berichten (zoals WhatsApp, maar ook Facebook of Twitter) getoond kunnen worden.

Het instellen van BIMI

Voor het gebruik van BIMI zijn een aantal zaken nodig. Ten eerste moet het logo in een specifiek formaat op een openbaar webadres beschikbaar zijn. De emails die verstuurd worden moeten via een versleuteling getekend zijn. Daarna moeten er een aantal instellingen van de domeinnaam van de verzender aangepast worden in zogenaamde DNS records.

Publicatie logo

Het logo moet op een openbare plek beschikbaar gemaakt worden. Bij voorkeur op een plek wat onder de eigen domeinnaam valt. Het logo moet in SVG formaat zijn opgeslagen, vierkant zijn, en binnen die vierkant gecentreerd zijn en zo goed mogelijk leesbaar. Er dienen geen taglines of payoff bij het logo worden weergegeven.

Email instellingen

Om in aanmerking te komen voor BIMI zal het nodig zijn dat alle email getekend zijn met DKIM (DomainKeys Identified Mail). Dit is een techniek waarbij het mogelijk wordt voor een ontvanger om nog zekerder van de echtheid van een bericht te zijn. Dit door een soort digitale handtekening met een mail mee te sturen en een bijhorend DNS record gepubliceerd te hebben.

Als er gekozen is voor meerdere verschillende logo's zal het ook nodig zijn om in elke email zogenaamde headers mee te sturen om aan te geven welke variant van het logo getoond moet worden.

DNS instellingen

Bedrijven die alvast klaar willen zijn voor BIMI dienen er voor te zorgen dat zij mails alvast sturen met correct ingestelde SPF, DKIM en DMARC records, waarbij de laatste op de meest strict mogelijke manier is ingesteld (p=reject). Ook zal er een extra DNS record aangemaakt moeten worden om het adres van het logo aan te duiden, het BIMI record.

Het is mogelijk om meerdere BIMI records te definieren door verschillende selectors op te geven, op dezelfde manier als dit al met DKIM records gedaan worden. In plaats van een specifieke selector is het ook mogelijk om "default" op te geven. Als voorbeeld zou het record default._bimi.panthera.nl gedefinieerd kunnen worden. De inhoud van dit record dient aan de BIMI specificaties te voldoen, en in ieder geval de BIMI versie en het adres van het logo te bevatten.

Merkrecht

Bovenstaande zal waarschijnlijk niet voldoende zijn om het logo ook daadwerkelijk getoond te krijgen. De bedoeling van BIMI is immers om er voor te zorgen dat het logo niet alleen herkend wordt, maar ook dat de ontvanger zeker er van mag zijn dat de mail afkomstig is van de organisatie waar het logo bij hoort. Als iedereen vrij is om zelf een willekeurige afbeelding in te stellen, dan is er niets wat een spammer tegenhoudt om het logo van een vertrouwd merk in te stellen of het logo van een bank bij een phishing aanval te gebruiken.

De oplossing is op dit moment een nieuw type beveiligingscertificaat. Op een soortgelijke manier waarop nu certificaten voor websites worden uitgegeven zou er een nieuw type komen: de “Verified Mark Certificate” (VMC). Hierbij zou het merkrecht van een logo altijd eerst worden gecontroleerd voordat een certificaat zou worden uitgegeven. CNN is de eerste grote organisatie die een dergelijk certificaat heeft aangevraagd en gekregen. Doordat deze controle door een externe partij plaats vindt zullen er kosten zijn verbonden aan dit certificaat. DigiCert heeft aangegeven om in de loop van 2020 dit als dienst beschikbaar te stellen en op dat moment zal het ook duidelijk worden hoe hoog deze kosten zullen zijn.

Naast de eis voor dit certificaat wordt er op dit moment nog gesproken over de mogelijkheid dat maildiensten en –programma's eventueel lijsten zouden kunnen gaan bijhouden van grote en vertrouwde organisaties, om vervolgens alleen voor bedrijven uit deze lijst de logo's weer te geven.

Nu al gebruiken?

De BIMI standaard is ook nog steeds in ontwikkeling en op dit moment wordt BIMI door geen enkele grote speler ondersteund. Yahoo (een onderdeel van Verizon) voert op dit moment een beperkte pilot uit  en Google heeft aangegeven dat zij in de loop van 2020 een pilot in Gmail zullen starten. De tijd zal uitwijzen of deze pilots succesvol zullen zijn, en of andere grote ontwikkelaars en dienstverleners van emailprogramma's en –diensten, zoals Microsoft en Apple, zullen volgen. Yahoo is ondertussen wel positief en meldt dat de weergave van de logo's de open rate van emails met 10% verhoogt.

Microsoft werkt ondertussen ook aan het Microsoft Business Profile platform (vergelijkbaar met Google's My Business), wat ook gebruikt zal worden om binnen Microsoft's platform en programma's logo's te tonen. Dit initiatief is op dit moment nog in ontwikkeling en is alleen beperkt beschikbaar in voor bedrijven in de VS. De logo's van bepaalde bedrijven worden ondertussen al wel in de webmail omgeving van Office 365 weergegeven.

Verder is het nog niet zeker of de huidige werking van Verified Mark Certificates zal blijven en of BIMI hier gebruik van zal maken. Dit los van het feit dat deze certificaten nog niet breed beschikbaar zijn.

Er zijn dus nog een aantal onzekerheden rond deze nieuwe standaard, het is daarmee ook niet zeker of het de moeite waard is om BIMI op dit moment volledig te implementeren. Voor het MKB geldt dat het ook nog niet zeker is in welke mate BIMI beschikbaar zal worden voor kleinere organisaties. Vooralsnog lijkt de standaard met name op grotere organisaties gericht te zijn.

Bedrijven die hierin geintresseerd zijn kunnen de stappen tot aan het aanvragen van het Verified Mark Certificate uiteraard doorlopen. De technische complexiteit van deze stappen zijn laag en er is daarbij weinig riscio om bestaande infrastructuur te verstoren. Voor bedrijven die niet direct in BIMI geintresseerd zijn raden wij nog steeds aan om er voor te zorgen dat emailverzending veilig word gemaakt door gebruik van SPF, DKIM en DMARC. Zoals wij al in een eerder artikel hebben beschreven heeft dit voordelen voor zowel de verzendende organisatie als de ontvanger.