Sicherer E-Mail-Versand mit BIMI – so gehts

Security theme with a man on blurred city background

Unser Weg zu BIMIMehr Sicherheit im E-Mail-Postfach

Spam- und Phishing-Mails sind für viele E-Mail-Empfänger ein Dauerproblem und teilweise nur schwer zu identifizieren. Daher haben sich verschiedene Standards etabliert, die z.B. eine Identifizierung des Absenders ermöglichen. Das neueste Verfahren nennt sich BIMI und ermöglicht es dem Empfänger, anhand des Markenlogos des Absenders, die Echtheit der E-Mail in der Inbox zu überprüfen. Neben dem Sicherheitsaspekt ist das zusätzliche Branding für den Absender attraktiv. Aber wie kommt man zu BIMI? Wir von AGNITAS haben es selbst ausprobiert und Ihnen nachfolgend den Prozess beschrieben. So haben Sie einen Überblick über den Ablauf und können entscheiden, ob diese Absenderauthentifizierung für Sie geeignet ist.

Wir haben das für Sie auch in einem 9-Punkte-Plan zur BIMI-Einführung zum Ausdrucken zusammengefasst.

Was ist BIMI?

Bei BIMI (Brand Indicators for Message Identification) handelt es sich um einen offenen Standard, der konsequent auf SPF, DKIM und DMARC aufbaut. BIMI wurde von mehreren Unternehmen wie Google, Microsoft und Verizon entwickelt, um insbesondere Phishing-Mails zu entlarven.

Die Verifizierung erfolgt auf Basis des bereits etablierten Authentifizierungsverfahren DMARC. Dabei prüft der empfangende Server, ob die jeweilige E-Mail von einem berechtigten Versender kommt – also die Echtheit des Absenders. Wenn dies der Fall ist, erscheint das Markenlogo direkt neben der Absenderzeile. Grundlegende Voraussetzung für die Darstellung des Logos ist natürlich, dass der empfangende E-Mail-Client BIMI unterstützt.

Neben dem Schutz der Empfänger sorgt BIMI auch für eine bessere Reputation als seriöser Versender, sowohl bei Providern von E-Mail-Postfächern als auch bei den Empfängern selbst. Versendenden Unternehmen wird dadurch bewusst, dass Maßnahmen gegen Cyber-Kriminalität nicht nur die Empfänger schützen, sondern auch einen positiven Einfluss auf die Markenwahrnehmung haben. Domain-Inhaber können zudem mehrere Logos veröffentlichen und mit BIMI nutzen.

Das BIMI-Verfahren ist übrigens nicht allein auf E-Mails beschränkt, auch andere Dienste können Logos auf diesen Weg beziehen. Die Unterstützung des BIMI-Standards ist noch neu und gerade dabei, sich zu etablieren.

BIMI in der Inbox

Mit Gmail und Yahoo sind bereits zwei sehr große Anbieter von E-Mail-Postfächern an Board. Beide zusammen hatten schon 2019 einen Marktanteil von 27,7 % in Deutschland mit wachsender Tendenz. Weltweit ist laut Litmus der Marktanteil der beiden Giganten im Juli 2021 sogar bei 38 % gelegen. Es ist außerdem davon auszugehen, dass weitere Anbieter hier nachziehen werden.

Implementierung von BIMI

Wir von AGNITAS haben den Prozess zur Nutzung von BIMI im Sommer/Herbst 2021 durchlaufen. Profitieren Sie daher von unseren Erfahrungswerten. Wir zeigen Ihnen den ganzen Prozess auf, damit Ihr Logo gut sichtbar im E-Mail-Postfach zu finden ist.

Technische Voraussetzungen

Zu den technischen Voraussetzungen gehört es, dass alle anderen E-Mail-Standards bereits umgesetzt wurden:

  • SPF muss umgesetzt sein
  • DKIM muss im EMM* sowie für alle anderen Systeme, die unter Ihrer Domain E-Mails versenden, z.B. Ihre Office-Mails, die Website etc., aktiviert sein.
  • DMARC besitzt mindestens die Policy „quarantine“, das heißt, nicht authentifizierte E-Mails landen im Spam-Ordner oder in einem anderen dafür vorgesehenen Ordner. Besser ist noch die Policy „reject“, diese E-Mails werden gebounced.

* bzw. einem vergleichbaren E-Mail-Versand-Tool

Organisatorische Voraussetzungen

BIMI erfordert eine Eintragung des eigenen Logos beim Deutschen Patent- und Markenamt (DPMA) bzw. einer im Ausland äquivalenten Organisation. Die Hinterlegung beim DPMA hat eine Gültigkeit von 10 Jahren. Danach muss diese erneuert werden.

Wenn Sie Ihr Logo bereits rechtlich geschützt und beim DPMA hinterlegt haben, entfällt dieser Schritt. Beachten Sie aber, dass es sich um exakt das gleiche Logo handeln muss, wie das, welches Sie für BIMI nutzen wollen. Ansonsten muss erst eine Anpassung beim DPMA erfolgen. Bedenken Sie dabei, dass das Logo sehr klein skaliert wird und quadratische Formen sich am vorteilhaftesten erweisen.

Bei uns hat die Eintragung – von Beantragung bis zur Veröffentlichung – etwa zwei Wochen gedauert. Die Kosten beliefen sich auf etwa 300 Euro. Beachten Sie, dass die Kosten variieren können, je nachdem für wie viele Klassen/Branchen Sie Ihr Logo bzw. Ihre Marke schützen möchten.

Zertifikat erwerben

Damit BIMI auch bei großen Providern wie Google oder Yahoo akzeptiert wird, ist eine Zertifizierung der Marke und des Logos nötig, dieses nennt sich VMC – Verified Mark Certificate.

Wir haben unsere Zertifizierung über Digicert durchgeführt. Daher beziehen sich unsere Erfahrungen auf diesen Anbieter. Es ist aber davon auszugehen, dass der Prozess bei anderen Anbietern ähnlich abläuft.

Das Zertifikat ist ein Jahr lang gültig.

Vorbereitung

Um das Zertifikat zu erhalten, müssen vor der Beantragung die nachfolgenden Schritte ausgeführt werden. Diese können Sie auch bei Digicert nachlesen.

1. Logo im SVG-Format erstellen

Wie bereits erwähnt, muss das Logo, welches für BIMI verwendet werden soll, zuvor beim Patent- und Markenamt registriert sein. Für das Zertifikat wird das Logo im SVG-Format benötigt. Damit das Logo akzeptiert wird, müssen gewisse Mindestanforderungen erfüllt werden, wie hier beschrieben.  Bei der Umwandlung gibt es auch Tools, die das eigene Logo entsprechend den Vorgaben für BIMI anpassen . Zudem muss das Logo noch in der globalen Markendatenbank WIPO vorliegen, da Digicert auf diese zur Verifizierung zurückgreift.

Beim Hochladen bei Digicert hat unser Kollege zudem festgestellt, dass für das Logo am besten ein Editor verwendet werden sollte, der UNIX-konforme Umbrüche macht. Über Windows war ein Upload bei Digicert nicht möglich, da unter Windows Zeilenumbrüche eingefügt wurden. Wie es sich bei iOS verhält, können wir nicht sagen.

2. Dateneingabe

Jetzt muss noch die Organisation hinzugefügt sowie weitere Daten dazu bei Digicert eingegeben werden. Zudem ist mindestens ein persönlicher Ansprechpartner nötig.

Tipp: Aufgrund des weiteren Aufwands, empfehlen wir, möglichst nur einen Ansprechpartner zu benennen.

3. Domäne hinzufügen

Hier gibt es vier Möglichkeiten:

3.1  Per E-Mail mit Bestätigungslink

3.2  Per DNS als CNAME: Mit Klick auf die zu validierende Domain in der Bestellübersicht, wird ein Token erzeugt. Dieses wird dann in die DNS eingefügt mit dem CNAME
Ziel dcv.digicert.com

3.3  Per DNS als TXT: Es erfolgt das gleiche Vorgehen wie bei 3.2. Nur wird hier ein TXT-Eintrag gesetzt, der das generierte Token enthält.

3.4  Per http: Dabei wird eine Datei auf den Webserver gesetzt, welche unter dem A-Record der Domäne erreichbar ist, mit dem Token als Inhalt. Diese Lösung ist allerdings nicht immer möglich.

Wir haben uns hier für die Option 3.2 CNAME entschieden.

Beantragung

1. Jetzt findet die eigentliche Beantragung statt. Dafür wird als erstes das Logo über Digicert hochgeladen.

2. Die zuvor verifizierte Domäne wird nun ausgewählt, damit diese im Zertifikat enthalten ist. Bei der Verifizierungsart nimmt man am besten dieselbe wie zuvor.

3. Jetzt wird nur noch die Organisation und der Kontakt ausgewählt.

4. Zum Schluss müssen noch die Kreditkartendaten hinterlegt werden. Die Preise werden bereits bei Domänen- und Zertifikatsauswahl angezeigt und sind im Punkt Kosten und Aufwand weiter unten nachzulesen.

Überprüfung durch Digicert

Durch Digicert werden jetzt die nachfolgenden Punkte geprüft:

  • Organisationsdetails verifizieren
  • Blocklist/Fraud
  • Betriebliche Existenz
  • Bestätigung des Standorts des Unternehmens
  • Bestätigung der Telefonnummer
  • Genehmigerbestätigung
  • Approver Blocklist
  • Logo Trademark Registration
  • Alle Kontakte verifizieren

Dafür ist es notwendig, dass alle im Antrag dokumentierten Kontaktpersonen ihren Personalausweis und ein aktuelles Foto per E-Mail an Digicert senden. Diese erfolgt nach Aufforderung durch einen Mitarbeiter von Digicert. Darüber hinaus gibt es eine Web-Konferenz, bei der der Ausweis in die Kamera gehalten und überprüft wird, ob es sich tatsächlich um die zuvor angegebene Person handelt. Einige kennen das Vorgehen sicher bereits von Telefongesellschaften oder ähnlichen Anbietern. Zudem wird die Telefonnummer noch durch einen Kontrollanruf überprüft.

Zusätzlich erfolgt die Überprüfung der Organisation und der Kontaktpersonen über einen Notar. Dafür wird ein Notar von Digicert beauftragt. Der Termin mit dem Notar muss aber noch durch die Organisation oder den betreffenden Mitarbeiter gemacht werden.

Beim Notar selbst wurde bei unserem Kollegen der vorgefertigte Text von Digicert noch durch den Notar angepasst, da die Vorlage von Digicert wohl nicht ganz rechtssicher ist. Das beglaubigte Dokument wird dann vom Notar oder durch Sie an Digicert übermittelt.

Jetzt kommt nur noch eine E-Mail, bei der noch einmal die Eingaben überprüft werden müssen. Danach erhält man dann endlich sein Zertifikat.

BIMI einrichten

Als Versender braucht man jetzt nur noch den DNS-Eintrag machen, den Rest erledigt Digicert für einen.

DNS-Eintrag ohne VMC:

default._bimi.agnitas.de IN TXT “v=BIMI1;l=https://www.agnitas.de/bimi/icon.svg;”

DNS-Eintrag mit VMC:

default._bimi.agnitas.de IN TXT “v=BIMI1; l=https://www.agnitas.de/bimi/icon.svg; a=https://www.agnitas.de/bimi/vmc-agn.pem;”

Möchten Sie nur bestimmte Mails mit Logo versehen oder unterschiedliche Logos nutzen besteht noch die Möglichkeit, einen Selektor einzusetzen. Auch beim Versand über zwei Server ist der Einsatz eines Selektors notwendig.

Prüfen

Senden Sie einfach eine E-Mail an einen Gmail-Account und schauen Sie, ob Ihr Logo mit angezeigt wird. Es kann aber durchaus sein, dass es ein paar Tage dauert, bis dieses tatsächlich zu sehen ist. Beachten Sie auch, dass BIMI aktuell nur in der Gmail und Yahoo App angezeigt wird. Es ist aber davon auszugehen, dass weitere Anbieter zeitnah nachziehen.

BIMI im Newsletter

Kosten und Aufwand

Die Kosten für das Zertifikat bei Digicert belaufen sich auf 1.500 US$ Grundkosten und auf 500 US$ pro Domain. Für den Notar belaufen sich die Kosten auf 25 € pro Beglaubigung. Wenn die Marke und das Logo nicht schon bereits geschützt sind, kommen noch die Kosten für das Patent- und Markenamt hinzu.

Der größte Aufwand ist nach unserer Erfahrung die Erstellung des Zertifikates. Prozesse und Abläufe sind noch nicht zu 100 Prozent erprobt und angepasst und erscheinen zum Teil überflüssig, z.B. die mehrfache Identifizierung. Es ist aber davon auszugehen, dass sich bei Digicert in den nächsten Monaten da noch etwas tut.

 

Anmerkung der Redaktion: Je nachdem, wie viele der Voraussetzungen Sie bereits erfüllen, beschleunigt sich auch der Implementierungsprozess bzw. reduzieren sich die Aufwände. Sehen Sie auch unten unseren 9-Punkte-Plan zur BIMI-Einführung.

Alternative bzw. Ergänzung – Trusted Dialog

Eine Alternative bzw. Ergänzung auf dem deutschen Markt zu BIMI ist aktuell noch Trusted Dialog. Dabei handelt es sich um eine Initiative der deutschen Mail-Box-Betreiber WEB.DE, GMX, 1&1, freenet und T-Online, die etwa 40 Millionen Postfächer erreichen. Auch hier findet eine Authentifizierung statt und das Logo wird in der Inbox angezeigt. Allerdings handelt es sich hierbei um eine private, kostenpflichtige Initiative der genannten Mailboxprovider und nicht um einen offenen Standard wie BIMI. Die genauen Kosten für Trusted Dialog sind uns nicht bekannt.

Fazit

Gerade weil die Prozesse für das Zertifikat noch nicht optimal laufen, kann sich der Weg zu BIMI derzeit als aufwendiger und längerer Prozess erweisen. Dennoch lohnt es sich langfristig, sich über BIMI Gedanken zu machen und auf dieses Authentifizierungsverfahren zu setzen. Zum einen setzen sich solche Standards in der Regel über kurz oder lang durch und zum anderen gibt man den Empfängern eine gewisse Sicherheit im eigenen Postfach. Da sich auch Gmail-Postfächer im deutschen Raum immer größerer Beliebtheit erfreuen, profitieren auch eine nicht unerhebliche Anzahl von Nutzern. Ein zusätzlicher Vorteil ist aktuell sicher auch, dass BIMI noch nicht so oft genutzt wird und Sie daher umso mehr Aufmerksamkeit erzeugen.

Für diejenigen, die überwiegend im deutschsprachigen Raum versenden, ist aktuell allerdings Trusted Dialog wohl noch die bessere Option, da damit eine große Abdeckung der deutschsprachigen Postfächer erzielt wird. Zudem nutzen viele große Marken hierzulande das Verfahren. Doch United Internet hat sich bereits dazu geäußert, dass auch sie BIMI künftig unterstützen werden. International und langfristig empfehlen wir deshalb, auf BIMI zu setzen.

9-Punkte-Plan zur Einführung von BIMI mit Kosten- und Zeitangaben

Ihr 9-Punkte-Plan für BIMI

Unser übersichtlicher 9-Punkte-Plan zur BIMI-Einführung zeigt Ihnen anschaulich, welche Schritte für die Zertifizierung nötig sind, wie viel Zeit Sie dafür jeweils einplanen sollten und mit welchen Kosten Sie kalkulieren müssen.

Wir bieten Ihnen den 9-Punkte-Plan kostenlos zum Download als Gegenleistung für die Einwilligung in unseren Newsletter an. Für aktive Newsletter-Empfänger verändert sich nichts. Den Newsletter können Sie bei Nichtgefallen jederzeit wieder abbestellen. Es erfolgt keine Weitergabe an Dritte. Im Newsletter erhalten Sie regelmäßig Tipps und Infos rund um E-Mail & Marketing Automation.

Einfach ausfüllen und herunterladen

Anrede *

Vorname *

Nachname *

E-Mail-Adresse *

Telefon *

Firma *

Straße / Hausnummer *

Postleitzahl *

Ort *

Land




Es gilt die Datenschutzerklärung von AGNITAS. 

* Pflichtfelder

Wenn Sie mehr über professionelles E-Mail-Marketing und interne Newsletter erfahren möchten, dann vereinbaren Sie doch einfach einen Termin für eine individuelle Online-Demo.

Online Demo

EMM Online-Demo

Bitte füllen Sie das Kontaktformular aus, damit wir mit Ihnen einen Termin für eine Online-Demo vereinbaren können. Teilen Sie uns einfach Ihren Wunschtermin mit.

CAPTCHA image

Dies hilft uns, Spam zu verhindern, vielen Dank.

Über AGNITAS

AGNITAS bietet mit dem E-Marketing Manager (EMM) eine intuitive Marketing-Automation-Software für kreative Multi-Channel-Kampagnen via E-Mail, Web Push, SMS, Fax und Print. Die mehrfach ausgezeichnete Software erfüllt als Inhouse- oder SaaS-Lösung individuelle Datenschutzanforderungen und passt sich flexibel den Kundenbedürfnissen an. Von Open Source bis High End gibt es für jedes Budget die passende Variante.

Als Martin Aschoff das Unternehmen 1999 gründete, war AGNITAS ein Pionier des E-Mail-Marketings in Deutschland. Heute ist AGNITAS einer der renommiertesten und innovativsten Anbieter von hochwertiger Marketing-Automation-Software, die rund um die Welt zur kundenorientierten Kommunikation genutzt wird.

 

Gestalten Sie die Customer Experience mit dem EMM – zum richtigen Zeitpunkt am richtigen Ort!