BIMI einrichten: So erscheint Ihr Logo in Gmail, Yahoo und Apple Mail
BIMI bringt Ihr Marken-Logo neben die Mail in Gmail, Yahoo und Apple Mail. Voraussetzungen, DNS-Record, VMC-Kosten und die häufigsten Fehler im Überblick.
Wer eine E-Mail von einer bekannten Marke erhält und neben dem Absender ein verifiziertes Logo sieht, vertraut der Nachricht eher. Genau das leistet BIMI (Brand Indicators for Message Identification): Es zeigt Ihr Marken-Logo direkt im Posteingang an. In diesem Beitrag erklären wir, was BIMI technisch voraussetzt, wie der DNS-Record aussieht und wann sich das kostenpflichtige Zertifikat lohnt.
Was BIMI ist und was es bringt
BIMI ist ein Standard, der einem Postfach erlaubt, neben einer authentifizierten Mail das offizielle Logo des Absenders einzublenden. Aktuell unterstützen unter anderem Gmail, Yahoo und Apple Mail diese Anzeige. BIMI selbst befindet sich noch im Draft-Status, wird in der Praxis aber bereits breit ausgewertet.
Der Nutzen liegt auf drei Ebenen:
- Marken-Sichtbarkeit: Ihr Logo erscheint im Posteingang, noch bevor die Mail geöffnet wird. Das stärkt den Wiedererkennungswert gegenüber namenlosen Platzhalter-Symbolen.
- Vertrauen: Empfänger erkennen auf einen Blick, dass die Nachricht aus einer authentifizierten Quelle stammt.
- Leichte Anti-Phishing-Wirkung: Ein Logo erscheint nur, wenn die Mail Ihre DMARC-Prüfung besteht. Phishing-Mails, die Ihre Domain fälschen, schaffen das nicht und bleiben ohne Logo. BIMI ersetzt keine dedizierte Phishing-Abwehr, erschwert Missbrauch aber zusätzlich.
Wichtig zur Einordnung: BIMI ist kein Sicherheitsmechanismus für sich, sondern die sichtbare Belohnung für eine sauber aufgesetzte Authentifizierung. Ohne durchsetzbare DMARC-Policy gibt es kein Logo.
Voraussetzung 1: Durchsetzbare DMARC-Policy
BIMI funktioniert nur, wenn Ihre Domain eine durchsetzbare DMARC-Policy veröffentlicht. Das bedeutet konkret p=quarantine oder p=reject. Eine Policy mit p=none reicht nicht aus, auch wenn der Record technisch gültig ist.
Hintergrund: DMARC (RFC 7489) baut auf SPF (RFC 7208) und DKIM (RFC 6376) auf. Ein DMARC-Pass setzt voraus, dass mindestens ein ausgerichteter Mechanismus passt, also entweder DKIM oder SPF im Einklang mit der sichtbaren Absenderdomain steht. Erst wenn Sie diese Prüfung scharf schalten und Mails, die durchfallen, tatsächlich aussortiert werden, akzeptieren die Postfächer BIMI.
In der Praxis heißt das: Bevor Sie sich mit Logos beschäftigen, sollte Ihr DMARC-Reporting sauber laufen und die Policy schrittweise von p=none über p=quarantine auf den gewünschten Endzustand angehoben sein. Wer hier zu früh durchsetzt, riskiert, legitime Mails zu verlieren.
Voraussetzung 2: Logo als SVG Tiny PS
Das Logo muss in einem sehr spezifischen Format vorliegen: SVG Tiny 1.2, Profil Portable/Secure (SVG Tiny PS). Das ist nicht dasselbe wie ein normales SVG aus einem Grafikprogramm. Die Vorgaben sind streng:
- Keine eingebetteten Schriften (Text muss in Pfade umgewandelt sein).
- Keine externen Ressourcen (keine verlinkten Bilder, keine Web-Fonts, keine externen Skripte).
- Alle Pfade direkt eingebettet.
- Quadratisches Seitenverhältnis (1:1), da die Anzeige in einem runden oder quadratischen Rahmen erfolgt.
- Definierter Hintergrund und ein
<title>-Element werden empfohlen.
Praktisch bedeutet das: Sie nehmen Ihr Vektor-Logo, vereinfachen es auf eine quadratische, gut erkennbare Variante und exportieren es konform zum Tiny-PS-Profil. Viele Logos sind im Original zu detailreich oder zu breit. Eine reduzierte, zentrierte Bildmarke funktioniert besser als ein vollständiger Schriftzug.
Das fertige SVG hosten Sie unter HTTPS auf einer von Ihnen kontrollierten URL.
Voraussetzung 3: VMC (teilweise Pflicht)
Hier wird es kostenpflichtig. Gmail und Yahoo verlangen zusätzlich ein VMC (Verified Mark Certificate). Das ist ein Zertifikat, das bestätigt, dass das Logo wirklich Ihrer Organisation gehört. VMCs gibt es bei DigiCert oder Entrust, sie kosten rund 1.500 € pro Jahr und setzen eine eingetragene Marke voraus. Ohne registriertes Markenrecht stellen die Zertifizierungsstellen kein VMC aus.
Apple Mail geht hier einen anderen Weg: Seit iOS 16 zeigt Apple Mail BIMI-Logos auch ohne VMC an. Zusätzlich akzeptiert Apple ein CMC (Common Mark Certificate), das auch für nicht eingetragene Marken verfügbar ist. Wer also vor allem Apple-Nutzer erreichen will oder keine eingetragene Marke besitzt, kann mit einem rein Apple-tauglichen Setup starten.
Der DNS-Record
BIMI wird über einen TXT-Record im DNS veröffentlicht, analog zu SPF, DKIM und DMARC. Der Standard-Selector ist default:
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://assets.ihre-domain.de/bimi/logo.svg; a=https://assets.ihre-domain.de/bimi/vmc.pem"
Die Bestandteile:
v=BIMI1— die Versionskennung, immer am Anfang.l=— die HTTPS-URL zu Ihrem SVG-Tiny-PS-Logo (der „Location”-Parameter).a=— die HTTPS-URL zu Ihrem VMC- oder CMC-Zertifikat (der „Authority”-Parameter). Für ein reines Apple-Setup ohne Zertifikat kann dieser Parameter entfallen, dasl=bleibt aber Pflicht.
Beide URLs müssen über gültiges HTTPS erreichbar sein. Ein abgelaufenes Zertifikat auf dem Hosting-Server oder eine Weiterleitung kann dazu führen, dass das Logo nicht angezeigt wird.
Wann sich das VMC lohnt — und wann Apple-only reicht
Die Entscheidung hängt von Ihrer Empfängerstruktur und Ihrem Budget ab.
Ein VMC lohnt sich, wenn:
- Sie regelmäßig an viele Gmail- und Yahoo-Empfänger versenden (Newsletter, Transaktionsmails an Privatkunden).
- Sie eine eingetragene Marke besitzen oder ohnehin registrieren lassen.
- Markenwahrnehmung im Posteingang ein messbares Ziel ist.
Apple-only ohne VMC reicht, wenn:
- Ihr Empfängerkreis überwiegend Apple Mail nutzt.
- Sie keine eingetragene Marke haben und die Registrierung nicht planen.
- Sie zunächst testen wollen, bevor Sie 1.500 € pro Jahr investieren.
Seien Sie ehrlich zu sich selbst: Wenn der Großteil Ihrer Mails an Geschäftskunden mit Microsoft-365- oder On-Premise-Postfächern geht, ist der direkte BIMI-Nutzen heute begrenzt, weil diese Clients die Anzeige noch nicht oder nur eingeschränkt unterstützen. Die saubere DMARC-Durchsetzung, die BIMI voraussetzt, lohnt sich aber in jedem Fall.
Häufige Fehler
Diese Stolpersteine sehen wir am häufigsten:
- DMARC steht noch auf
p=none. Der häufigste Grund, warum kein Logo erscheint. Ohnep=quarantineoderp=rejectwird BIMI ignoriert. - Falsches SVG-Profil. Ein normales SVG aus dem Grafikprogramm enthält oft Schriften, externe Verweise oder nicht erlaubte Elemente. Es muss strikt SVG Tiny PS sein.
- Logo nicht quadratisch. Breite Schriftzüge werden beschnitten oder gar nicht dargestellt. Das Seitenverhältnis muss 1:1 sein.
- Logo zu detailreich. In der kleinen Anzeige im Posteingang verschwinden feine Linien. Eine reduzierte Bildmarke wirkt besser.
- VMC erwartet, aber keine eingetragene Marke. Gmail und Yahoo verlangen das Zertifikat, das wiederum ein Markenrecht voraussetzt. Ohne Registrierung kein VMC.
- Zertifikats- oder URL-Probleme. Abgelaufenes HTTPS-Zertifikat, falsche Pfade oder Redirects beim Logo- oder VMC-Abruf verhindern die Anzeige.
Fazit
BIMI ist die sichtbare Belohnung für eine konsequent durchgesetzte E-Mail-Authentifizierung. Die Reihenfolge ist klar: zuerst DMARC sauber auf p=quarantine oder p=reject bringen, dann das Logo konform aufbereiten, danach über VMC oder den Apple-Weg entscheiden.
Mit dem kostenlosen BIMI-Check von Selector7 prüfen Sie in Sekunden, ob Ihr DNS-Record korrekt ist und ob Ihre DMARC-Policy die nötige Durchsetzungsstufe erreicht. Wer alle sieben Authentifizierungs-Layer im Blick behalten möchte, findet bei Selector7 zusätzlich das passende Monitoring. Prüfen Sie Ihre Domain jetzt kostenlos.