BIMI · Aktualisiert: November 2025

BIMI-Authentifizierung: Wie dein Logo sicher in jedem Posteingang landet

BIMI (Brand Indicators for Message Identification) ist die einzige E-Mail-Technologie, die Sicherheit und Markenpräsenz direkt im Posteingang vereint. Wer BIMI korrekt umsetzt, zeigt sein verifiziertes Unternehmenslogo neben jeder eingehenden E-Mail – noch bevor der Empfänger die Nachricht öffnet. Dieser Leitfaden erklärt alle Voraussetzungen, die technische Umsetzung und den Weg zum Verified Mark Certificate (VMC) Schritt für Schritt.

Was BIMI ist und wie es funktioniert

BIMI ist ein offener Standard, der auf DMARC aufbaut. Sobald ein sendender Server eine E-Mail ausliefert, prüft der empfangende Mailbox-Provider drei Dinge: Hat die Domain einen gültigen DMARC-Eintrag mit einer durchsetzenden Richtlinie? Gibt es einen BIMI-DNS-Eintrag unter default._bimi.deinedomain.tld? Ist das referenzierte SVG-Logo erreichbar und konform?

Sind alle Bedingungen erfüllt, lädt der Provider das Logo und zeigt es im Posteingang an. Bei Gmail und Yahoo ist zusätzlich ein Verified Mark Certificate (VMC) oder Common Mark Certificate (CMC) erforderlich, das die Markenidentität rechtlich bestätigt. Andere Provider wie Apple Mail akzeptieren derzeit auch BIMI-Einträge ohne VMC.

Das Ergebnis ist unmittelbar spürbar: Empfänger erkennen deine Marke auf einen Blick, bevor sie die E-Mail öffnen. Studien zeigen, dass BIMI-implementierte Marken bis zu 10 % höhere Öffnungsraten verzeichnen – ein direkter ROI über den reinen Sicherheitsnutzen hinaus.

Die sechs Voraussetzungen im Detail

BIMI funktioniert nur, wenn die gesamte E-Mail-Authentifizierungskette lückenlos ist. Diese sechs Punkte müssen vor dem ersten BIMI-DNS-Eintrag sauber abgehakt sein:

  1. DMARC auf p=quarantine oder p=reject: Ein DMARC-Eintrag mit p=none reicht nicht aus. Die meisten Provider verlangen mindestens p=quarantine, Gmail und Yahoo fordern zwingend p=reject für die Logo-Anzeige. Prüfe alle Domains und Subdomains – nicht nur die Hauptdomain.
  2. SPF korrekt konfiguriert: Alle sendenden IP-Adressen und Dienste müssen im SPF-Record autorisiert sein. Halte die Anzahl der DNS-Lookups unter dem Limit von 10. Ein fehlerhafter SPF-Record kann die DMARC-Ausrichtung brechen und damit BIMI blockieren.
  3. DKIM mit 2048-Bit-Schlüsseln: DKIM-Signaturen müssen für alle ausgehenden E-Mails gesetzt sein. Veraltete 1024-Bit-Schlüssel sollten auf 2048 Bit aktualisiert werden. Stelle sicher, dass der d=-Parameter im DKIM-Header mit der absendenden Domain übereinstimmt (Alignment).
  4. DMARC-Alignment korrekt: Sowohl SPF als auch DKIM müssen mit der From-Domain ausgerichtet sein. Bei relaxed Alignment genügt die organisatorische Domain; bei strict Alignment muss die exakte Domain übereinstimmen. Prüfe insbesondere Marketing-Tools und transaktionale E-Mail-Dienste.
  5. Keine aktiven DMARC-Failures: Bevor du BIMI aktivierst, analysiere deine DMARC-Reports. Liegt die DMARC-Pass-Rate unter 95 %, gibt es noch nicht autorisierte Sender oder fehlerhafte Signaturen. Löse diese zuerst – andernfalls gefährdest du die Logo-Auslieferung.
  6. Marke als eingetragenes Warenzeichen: Für VMC (erforderlich bei Gmail) muss das verwendete Logo als Wortbild- oder Bildmarke eingetragen sein. In Deutschland übernimmt das DPMA (Deutsches Patent- und Markenamt) diese Registrierung; international können auch USPTO oder EUIPO-Eintragungen genutzt werden.

SVG-Logo richtig vorbereiten

Das BIMI-Logo wird als SVG Tiny P/S (Portable/Secure) hinterlegt – ein striktes SVG-Profil, das externe Ressourcen, Skripte und eingebettete Rastergrafiken vollständig verbietet. Viele Corporate-SVGs erfüllen diesen Standard nicht und müssen vom Grafikteam überarbeitet werden.

Die wichtigsten technischen Anforderungen:

  • Dateiformat: SVG 1.2 Tiny P/S (Spezifikation des AuthIndicators-Arbeitsgruppe)
  • Keine eingebetteten PNG/JPEG, keine externen Fonts, keine JavaScript
  • Quadratisches Format (1:1 Seitenverhältnis) empfohlen
  • Dateigröße idealerweise unter 32 KB; manche Provider erlauben bis zu 500 KB
  • Logo-Inhalt zentriert mit ausreichend Rand für kreisförmige Anzeige in Clients
  • HTTPS-URL mit stabiler Erreichbarkeit (mindestens 99,9 % Uptime)
  • CORS-Header Access-Control-Allow-Origin: * auf dem Hosting-Server aktivieren

Tipp: Nutze den offiziellen BIMI-SVG-Validator unter bimigroup.org/svg-conversion, bevor du den DNS-Eintrag setzt. Ein ungültiges SVG führt dazu, dass kein Logo angezeigt wird – ohne Fehlermeldung im Mail-Client.

Den BIMI-DNS-Eintrag publizieren

Der TXT-Record wird als Subdomain default._bimi unter deiner Domain veröffentlicht. Für eine Domain beispiel.de lautet der vollständige Hostname also default._bimi.beispiel.de.

Ein vollständiger BIMI-Eintrag mit VMC sieht so aus:

v=BIMI1; l=https://cdn.beispiel.de/logo.svg; a=https://cdn.beispiel.de/vmc.pem

Die Parameter im Überblick:

  • v=BIMI1 – Pflichtfeld, definiert den BIMI-Protokollversions-Tag
  • l= – URL zur SVG-Logodatei (Pflichtfeld; leer lassen, um BIMI zu deaktivieren)
  • a= – URL zur VMC-Zertifikatsdatei (.pem); optional, aber für Gmail erforderlich

Nach der Publikation dauert es zwischen 24 und 72 Stunden, bis Mailbox-Provider den Eintrag aufgreifen. Nutze in dieser Zeit den DMARCFlow BIMI-Checker, um die Eintragssyntax und Logo-Erreichbarkeit zu verifizieren.

Das Verified Mark Certificate (VMC) beantragen

Das VMC ist ein digitales Zertifikat, das von akkreditierten Certificate Authorities (CAs) wie Entrust oder DigiCert ausgestellt wird. Es bestätigt, dass das in der E-Mail verwendete Logo rechtlich der sendenden Organisation gehört.

Der Prozess gliedert sich in vier Schritte:

  1. Markenrecherche und -registrierung: Das Logo muss als Marke eingetragen sein. In Deutschland dauert die DPMA-Registrierung 3–6 Monate; internationale Eintragungen (EUIPO, USPTO) können länger dauern. Wer noch keine Marke hat, sollte diesen Schritt frühzeitig starten.
  2. CA auswählen und Antrag stellen: Entrust und DigiCert sind die derzeit autorisierten VMC-Aussteller. Die Kosten betragen typischerweise 1.200–1.500 USD pro Jahr. Die CA prüft die Markenregistrierung und die Unternehmensidentität (ähnlich wie bei einem EV-SSL-Zertifikat).
  3. SVG-Logo einreichen: Die CA prüft das Logo gegen die Markenregistrierung. Das eingereichte SVG muss dem registrierten Markenbild entsprechen.
  4. Zertifikat in BIMI-Eintrag einbinden: Nach Ausstellung wird das .pem-Zertifikat auf einem öffentlich erreichbaren HTTPS-Server abgelegt und im a=-Parameter des BIMI-DNS-Eintrags referenziert.

Hinweis: Common Mark Certificates (CMC) – die günstigere Alternative – sind im Kommen und sollen künftig auch ohne eingetragene Marke funktionieren. Stand Ende 2025 sind CMCs noch nicht von Gmail akzeptiert; verfolge die Updates der BIMI-Gruppe für aktuelle Unterstützerstatus.

Pilotierung und Erfolgsmessung

BIMI rollst du nicht für alle Domains gleichzeitig aus. Ein strukturierter Pilotansatz schützt vor unerwarteten Problemen und liefert messbare Daten für interne Stakeholder.

Empfohlener Pilotansatz:

  1. Starte mit einer Domain, über die hauptsächlich Marketing-E-Mails laufen – höheres Volumen bedeutet schnellere Validierungsdaten.
  2. Aktiviere BIMI zunächst ohne VMC (wo provider-seitig möglich) und prüfe Logo-Auslieferung bei Apple Mail und Yahoo.
  3. Überwache DMARC-Aggregate-Reports auf Veränderungen in der Pass-Rate nach der BIMI-Aktivierung.
  4. Führe A/B-Tests durch: Messe Öffnungsraten und Klickraten für Empfänger, die das Logo sehen, versus solche, die es nicht sehen (z.B. Outlook ohne BIMI-Unterstützung).
  5. Dokumentiere die Ergebnisse als Business Case für den VMC-Invest und die Ausweitung auf weitere Domains.

Typische KPIs für BIMI-Piloten: Öffnungsrate-Delta (+5–10 % bei Gmail/Yahoo), Phishing-Meldungen (sollten sinken), Brand-Trust-Score in Kundenbefragungen, DMARC-Pass-Rate-Stabilität über den Rollout-Zeitraum.

BIMI dauerhaft in die DMARC-Roadmap integrieren

BIMI ist kein Einmalprojekt, sondern ein laufender Betriebsprozess. Nach dem initialen Rollout entstehen neue Verantwortlichkeiten:

  • VMC-Ablaufdatum überwachen: VMCs laufen jährlich ab. Setze Kalenderreminder 60 und 30 Tage vor Ablauf; ein abgelaufenes VMC unterbricht die Logo-Anzeige bei Gmail sofort.
  • Logo-URL-Erreichbarkeit monitoren: Der CDN-Pfad, auf dem das SVG liegt, muss dauerhaft erreichbar sein. Integriere eine Uptime-Überwachung (z.B. über DMARCFlow oder ein externes Monitoring-Tool) für diese URL.
  • Markenänderungen rechtzeitig einplanen: Wenn das Corporate Design sich ändert, muss das neue SVG die VMC-Anforderungen erfüllen und ggf. ein neues VMC beantragt werden. Plane 3–6 Monate Vorlauf ein.
  • Provider-Support im Blick behalten: Der BIMI-Unterstützerkreis wächst. Verfolge neue Clients und Provider, die BIMI einführen, um den Rollout-Umfang regelmäßig zu aktualisieren.
  • DMARC-Gesundheit dauerhaft sichern: BIMI bricht sofort, wenn die DMARC-Pass-Rate unter einen kritischen Schwellenwert fällt. Automatisiertes Monitoring mit Alarmierung bei Abweichungen ist Pflicht – nicht Option.

BIMI mit DMARCFlow umsetzen

DMARCFlow prüft automatisch deinen BIMI-Eintrag, die Logo-URL-Erreichbarkeit und die zugrunde liegenden DMARC/SPF/DKIM-Voraussetzungen. Alerts benachrichtigen dich, bevor ein abgelaufenes VMC oder ein gerissener DNS-Eintrag die Logo-Auslieferung unterbricht.

BIMI jetzt prüfen Pläne ansehen