Was ist BIMI und warum ist es wichtig?

BIMI steht für Brand Indicators for Message Identification. Es ist ein E-Mail-Standard, der es Mail-Clients ermöglicht, Ihr verifiziertes Markenlogo direkt im Posteingang anzuzeigen – neben dem Absendernamen, noch bevor der Empfänger die Nachricht öffnet.

Die Wirkung ist spürbar. Wenn Empfänger ein bekanntes Logo neben Ihrem Domainnamen sehen, erkennen sie sofort, dass die E-Mail legitim ist. Studien der AuthIndicators Working Group haben gezeigt, dass BIMI-fähige E-Mails messbar höhere Öffnungsraten und ein gestärktes Markenvertrauen aufweisen. In einer Zeit, in der Phishing- und Spoofing-Angriffe weit verbreitet sind, dient ein sichtbares Markenlogo als Vertrauenssignal, das keine Betreffzeile allein liefern kann.

Über das Vertrauen hinaus ist BIMI auch ein Durchsetzungsmeilenstein. Da BIMI voraussetzt, dass Ihre Domain über eine vollständig durchgesetzte DMARC-Richtlinie verfügt, zwingt die Implementierung Organisationen dazu, ihre E-Mail-Authentifizierungsreise abzuschließen – d. h. jeder legitime Absender wird durch SPF oder DKIM abgedeckt, und keine unbefugte Quelle kann Ihre Domain erfolgreich fälschen.

Kurzzusammenfassung: BIMI = Ihr Logo im Posteingang + bessere Öffnungsraten + Beweis dafür, dass Ihre E-Mail-Authentifizierung lückenlos ist.

Voraussetzungen im Überblick

Bevor Sie einen BIMI-Record veröffentlichen, müssen alle folgenden Punkte erfüllt sein. Das Überspringen eines dieser Punkte führt dazu, dass BIMI von empfangenden Mailservern stillschweigend ignoriert wird.

  • DMARC-Richtlinie auf p=quarantine oder p=reject – eine p=none-Richtlinie ist nicht ausreichend. Dies ist der häufigste Grund, warum BIMI nicht funktioniert.
  • SPF-Record veröffentlicht – ein gültiger SPF-Record für Ihre sendende Domain.
  • DKIM-Signierung aktiviert – mindestens ein DKIM-Schlüssel für Ihre Domain konfiguriert, der mit Ihrer Absenderadresse übereinstimmt.
  • Ein SVG-Logo im SVG Tiny P/S-Format – eine eingeschränkte Teilmenge von SVG, die für ein sicheres Rendering in Mail-Clients entwickelt wurde.
  • Logo auf einer öffentlichen HTTPS-URL gehostet – mit CORS-Headern, die den Zugriff durch die Infrastruktur von Mail-Anbietern erlauben.
  • Ein Verified Mark Certificate (VMC) – für Gmail zwingend erforderlich; für Yahoo und andere optional.

Schritt 1: DMARC-Einrichtung prüfen

Ihre DMARC-Richtlinie muss auf Durchsetzungsebene liegen – entweder quarantine oder reject. Ein DMARC-Record mit p=none dient nur der Überwachung; er autorisiert keine BIMI-Anzeige.

Ein qualifizierender DMARC-Record sieht so aus:

v=DMARC1; p=reject; rua=mailto:dmarc@ihredomain.de; ruf=mailto:dmarc@ihredomain.de; adkim=s; aspf=s;

Das entscheidende Element ist p=reject (oder mindestens p=quarantine). Das rua-Tag, das auf eine Aggregatberichts-Adresse zeigt, wird dringend empfohlen – so erkennen Sie Authentifizierungsfehler, bevor sie die Zustellbarkeit beeinträchtigen.

Nutzen Sie den kostenlosen DMARC-Prüfer, um Ihren aktuellen DMARC-Record nachzuschlagen und zu bestätigen, dass er die Durchsetzungsanforderung erfüllt. Das Tool zeigt Ihnen den genauen Richtlinienwert an und weist auf Syntaxfehler hin, die BIMI verhindern könnten.

Noch nicht auf Durchsetzungsebene? Ein zu schneller Wechsel zu p=reject, ohne alle sendenden Quellen zu kennen, kann legitime E-Mail-Flows unterbrechen. Das Reporting-Dashboard von DMARCFlow zeigt Ihnen genau, welche Quellen bestehen und welche scheitern, damit Sie die Durchsetzung sicher einführen können.

Schritt 2: SVG-Logo vorbereiten

BIMI akzeptiert nicht jede SVG-Datei – es ist das Profil SVG Tiny Portable/Secure (SVG Tiny P/S) erforderlich. Dabei handelt es sich um eine eingeschränkte Teilmenge von SVG, die Skripte, externe Referenzen und Funktionen eliminiert, die beim Rendering durch Mail-Clients Sicherheitsrisiken darstellen könnten.

Anforderungen an SVG Tiny P/S

  • Die Datei muss das SVG Tiny 1.2-Profil im Stamm-Element <svg> deklarieren.
  • Die Dateigröße muss unter 32 KB liegen (einige Anbieter setzen dies strikt durch).
  • Das Logo muss quadratisch sein – ein 1:1-Seitenverhältnis ist erforderlich.
  • Keine eingebetteten Skripte, keine externen Schriftartverweise, keine Animationen.
  • Alle Pfade, Formen und Farben müssen in der Datei enthalten sein.

Ein minimaler konformer SVG-Header sieht so aus:

<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg"
     xmlns:xlink="http://www.w3.org/1999/xlink"
     version="1.2"
     baseProfile="tiny-ps"
     viewBox="0 0 100 100">
  <title>Ihr Markenname</title>
  <!-- Logo-Inhalt hier -->
</svg>

Sobald die Datei fertig ist, hosten Sie sie unter einer öffentlich zugänglichen HTTPS-URL auf Ihrer eigenen Domain oder einem CDN. Der Server muss Access-Control-Allow-Origin: * in seinen Antwort-Headern zurückgeben, damit Mail-Anbieter das Logo ohne CORS-Fehler abrufen können.

Tipp: Viele Grafikdesigner exportieren Standard-SVG-Dateien, die nicht dem Tiny P/S-Profil entsprechen. Verwenden Sie einen BIMI-SVG-Validator, bevor Sie Ihren DNS-Record veröffentlichen – das spart Ihnen Stunden beim Debuggen.

Schritt 3: VMC-Zertifikat beschaffen (optional, für Gmail erforderlich)

Ein Verified Mark Certificate (VMC) ist eine besondere Art von digitalem Zertifikat, das Ihr Logo kryptografisch mit Ihrer Domain und Ihrer eingetragenen Marke verknüpft. Es wird von Zertifizierungsstellen ausgestellt, die von der AuthIndicators Working Group autorisiert sind.

Derzeit sind die beiden zugelassenen VMC-Aussteller Entrust und DigiCert. Die Beschaffung eines VMC umfasst:

  1. Nachweis der Markenanmeldung für Ihr Logo (in mindestens einem wichtigen Rechtsgebiet).
  2. Einreichung Ihrer SVG Tiny P/S-Logodatei zur Aufnahme in das Zertifikat.
  3. Abschluss der Domain-Validierung bei der Zertifizierungsstelle.
  4. Erhalt einer .pem-Zertifikatsdatei, die Sie dann auf HTTPS hosten und in Ihrem BIMI-Record über das a=-Tag referenzieren.

VMCs sind nicht kostenlos – sie kosten in der Regel mehrere hundert Euro pro Jahr. Für Gmail – das über 1,8 Milliarden Nutzer zählt – ist ein VMC jedoch Pflicht. Ohne VMC zeigt Gmail Ihr Logo nicht an, selbst wenn Ihr BIMI-DNS-Record einwandfrei aufgebaut ist.

Yahoo Mail, Apple Mail (in einigen Konfigurationen) und Fastmail können BIMI-Logos ohne VMC anzeigen, wobei die Unterstützung je nach Implementierungsversion variiert.

Schritt 4: BIMI-DNS-Record erstellen und veröffentlichen

Ein BIMI-Record ist ein DNS-TXT-Record, der unter einer bestimmten Subdomain Ihrer Domain veröffentlicht wird. Das Format lautet:

default._bimi.ihredomain.de  IN  TXT  "v=BIMI1; l=https://ihredomain.de/logo.svg; a=https://ihredomain.de/vmc.pem;"

Erklärung der Tags:

  • v=BIMI1 – die BIMI-Versionskennung. Dieses Tag muss an erster Stelle stehen.
  • l= – die HTTPS-URL Ihrer SVG Tiny P/S-Logodatei. Lassen Sie dieses Feld leer (l=;), wenn Sie die BIMI-Anzeige explizit deaktivieren möchten, den Record aber beibehalten.
  • a= – die HTTPS-URL Ihrer VMC-.pem-Datei. Lassen Sie dieses Tag vollständig weg, wenn Sie kein VMC verwenden.

Ein Beispiel-Record ohne VMC (geeignet für Yahoo und andere):

default._bimi.ihredomain.de  IN  TXT  "v=BIMI1; l=https://cdn.ihredomain.de/marke/logo-bimi.svg;"

Ein Beispiel-Record mit VMC (erforderlich für Gmail):

default._bimi.ihredomain.de  IN  TXT  "v=BIMI1; l=https://cdn.ihredomain.de/marke/logo-bimi.svg; a=https://cdn.ihredomain.de/marke/vmc.pem;"

Sie können auch selektor-spezifische BIMI-Records für verschiedene E-Mail-Streams erstellen, indem Sie default durch einen Selektornamen ersetzen und diesen Selektor in Ihren E-Mail-Headern referenzieren. Für die meisten Organisationen ist der Selektor default ausreichend.

Nutzen Sie den kostenlosen BIMI-Record-Generator, um Ihren DNS-Record mit der korrekten Syntax zu erstellen – ohne manuelles Bearbeiten. Geben Sie einfach Ihre Logo-URL und optional Ihre VMC-URL ein, und das Tool generiert den exakten TXT-Record-Wert, den Sie direkt bei Ihrem DNS-Anbieter einfügen können.

Schritt 5: BIMI mit einem Checker prüfen

Nachdem Sie Ihren DNS-Record veröffentlicht haben, warten Sie einige Minuten auf die Propagierung und führen dann eine Überprüfung durch. Ein BIMI-Checker führt eine DNS-Abfrage für Ihren default._bimi-Record durch, validiert die Syntax, ruft das referenzierte SVG ab, um zu bestätigen, dass es erreichbar und korrekt formatiert ist, und prüft die DMARC-Compliance Ihrer Domain.

Nutzen Sie den kostenlosen BIMI-Prüfer, um Ihre Einrichtung in Sekunden zu validieren. Das Tool zeigt die häufigsten Probleme auf:

  • DMARC-Richtlinie nicht auf Durchsetzungsebene
  • Logo-URL gibt einen HTTP-Status ungleich 200 zurück oder es fehlen CORS-Header
  • SVG-Datei entspricht nicht dem Tiny P/S-Profil
  • Falsche DNS-Record-Syntax oder fehlende Pflicht-Tags
  • VMC-Zertifikat-URL nicht erreichbar oder Zertifikat abgelaufen
Alle Prüfungen bestanden? Ihre BIMI-Einrichtung ist aktiv. Senden Sie eine Test-E-Mail von Ihrer Domain an ein Gmail- oder Yahoo-Konto und suchen Sie nach Ihrem Logo im Posteingang.

Welche E-Mail-Anbieter unterstützen BIMI?

Die BIMI-Unterstützung ist seit 2022 deutlich gewachsen. Hier ist der aktuelle Stand der Unterstützung bei den wichtigsten Anbietern, Stand 2026:

Anbieter BIMI unterstützt VMC erforderlich? Hinweise
Gmail Ja Ja (Pflicht) Zeigt ein blaues verifiziertes Häkchen-Abzeichen neben dem Logo an
Yahoo Mail Ja Nein Einer der frühesten Unterstützer; Logo wird ohne VMC angezeigt
Apple Mail Ja (iOS 16+, macOS Ventura+) Nein (empfohlen) Unterstützung variiert je nach iOS/macOS-Version und Kontotyp
Fastmail Ja Nein Vollständige BIMI-Unterstützung einschließlich Logo-Anzeige
Outlook / Microsoft 365 Teilweise k. A. Microsoft nutzt ein eigenes Markenindikatorensystem; BIMI nicht nativ unterstützt (Stand 2026)
ProtonMail In Arbeit TBD Unterstützung angekündigt; Einführung läuft

Selbst wenn Outlook Ihr BIMI-Logo nicht anzeigt, lohnt es sich trotzdem, einen BIMI-Record zu veröffentlichen. Gmail und Yahoo allein repräsentieren Milliarden von Posteingängen, in denen Ihre Marke bei jeder zugestellten E-Mail visuell gestärkt wird.

Wie lange dauert die BIMI-Propagierung?

Die DNS-Propagierung für einen neuen BIMI-TXT-Record dauert typischerweise einige Minuten bis wenige Stunden, abhängig von den TTL-Einstellungen Ihres DNS-Anbieters. Die meisten modernen DNS-Anbieter propagieren Änderungen weltweit innerhalb von 15–30 Minuten.

Das Caching der Mail-Anbieter ist die andere Variable. Gmail beispielsweise cacht BIMI-Abfragen. Nachdem ein neuer oder aktualisierter Record durch DNS propagiert wurde, kann es 24–72 Stunden dauern, bis Gmail Ihr Logo konsistent in allen Posteingängen anzeigt. Das ist normal und kein Zeichen dafür, dass etwas nicht stimmt.

Yahoo Mail neigt dazu, BIMI-Änderungen schneller aufzugreifen, oft innerhalb weniger Stunden nach der DNS-Propagierung. Die Logo-Anzeige in Apple Mail hängt vom clientseitigen Cache einzelner Geräte ab und ist schwerer präzise vorherzusagen.

Um die Propagierung zu bestätigen, ohne warten zu müssen, nutzen Sie den BIMI-Prüfer direkt nach der Veröffentlichung. Wenn der DNS-Record korrekt aufgelöst wird und die Logo-URL zugänglich ist, ist die Einrichtung technisch abgeschlossen – die Verzögerung betrifft nur den Zeitpunkt, ab dem Anbieter das Logo anzeigen.

BIMI am Laufen halten: DMARC-Reports überwachen

BIMI ist keine Einrichtung-und-Vergessen-Konfiguration. Da BIMI vollständig davon abhängt, dass Ihre DMARC-Richtlinie auf Durchsetzungsebene bleibt, kann jede Abweichung in Ihrer E-Mail-Authentifizierungseinrichtung die Logo-Anzeige still und leise unterbrechen – und Sie merken es möglicherweise erst Wochen später.

Häufige Szenarien, die BIMI nach der initialen Einrichtung unterbrechen:

  • Eine neue Marketing-Plattform oder ein transaktionaler E-Mail-Anbieter wird hinzugefügt, ohne SPF oder DKIM für Ihre Domain zu konfigurieren.
  • Ein DKIM-Schlüssel wird rotiert, ohne den DNS-Record zu aktualisieren, was zu DKIM-Fehlern führt.
  • Eine IT-Änderung modifiziert oder löscht versehentlich den DMARC-Record.
  • Eine Subdomain wird mit einer fehlerhaften E-Mail-Einrichtung in den Geltungsbereich aufgenommen, die die Authentifizierungsposition der übergeordneten Domain untergräbt.

DMARC-Aggregatberichte (RUA) zeigen Ihnen genau, was passiert: welche Quellen im Namen Ihrer Domain senden, welche SPF und DKIM bestehen oder scheitern lassen, und welches Volumen unter Ihrer aktuellen Richtlinie verarbeitet wird. Ohne die Auswertung dieser Reports navigieren Sie blind.

Stellen Sie sicher, dass BIMI dauerhaft funktioniert

DMARCFlow erfasst, analysiert und visualisiert Ihre DMARC-Aggregatberichte automatisch. Erhalten Sie Benachrichtigungen, wenn Authentifizierungsfehler zunehmen, verfolgen Sie jede sendende Quelle und bleiben Sie auf Durchsetzungsebene – damit Ihr BIMI-Logo nie aus dem Posteingang verschwindet.

DMARC-Reports jetzt kostenlos überwachen

Keine Kreditkarte erforderlich. Vollständiges Reporting-Dashboard ab dem ersten Tag.

BIMI-Einrichtungs-Checkliste: Kurzreferenz

Nutzen Sie diese Checkliste vor und nach der Veröffentlichung Ihres BIMI-Records:

  1. DMARC durchgesetztp=quarantine oder p=reject bestätigt über den DMARC-Prüfer
  2. SPF und DKIM bestehen für alle legitimen sendenden Quellen
  3. SVG-Logo im SVG Tiny P/S-Format, unter 32 KB, quadratisches Seitenverhältnis
  4. Logo auf HTTPS gehostet mit dem Header Access-Control-Allow-Origin: *
  5. VMC beschafft und auf HTTPS gehostet (erforderlich für Gmail)
  6. BIMI-DNS-TXT-Record veröffentlicht unter default._bimi.ihredomain.de – nutzen Sie den BIMI-Generator zur Erstellung
  7. Record verifiziert mit dem BIMI-Prüfer
  8. DMARC-Reporting aktiv – Aggregatberichte fließen in ein überwachtes Postfach oder Dashboard

BIMI ist einer der sichtbarsten Erfolge, den Sie aus Ihrer E-Mail-Authentifizierungsinvestition erzielen können. Legen Sie die Grundlagen mit DMARC-Durchsetzung richtig, bereiten Sie ein konformes SVG-Logo vor, veröffentlichen Sie den DNS-Record und prüfen Sie, ob alles funktioniert. Halten Sie es dann am Laufen, indem Sie Ihre DMARC-Reports kontinuierlich überwachen – denn Authentifizierungsfehler sind der schnellste Weg, Ihr Posteingangslogo zu verlieren.