BIMI

01 — DéfinitionQu'est-ce que BIMI ?

BIMI (Brand Indicators for Message Identification) est un standard ouvert qui permet d'afficher le logo officiel d'une marque dans la boîte de réception email des destinataires, à côté ou à la place de l'avatar classique.

L'idée est simple : récompenser visuellement les organisations qui ont investi dans une authentification email solide, et donner au destinataire un repère de confiance immédiat. Quand un email affiche le logo officiel d'une banque, d'un opérateur ou d'un service public, le destinataire sait que le message provient réellement de cette organisation, car BIMI n'autorise l'affichage que si l'email est authentifié en DMARC strict.

BIMI a été développé à partir de 2019 par un groupe de travail réunissant les grands acteurs de l'email (Google, Yahoo, Verizon Media, Fastmail, plusieurs banques, AuthIndicators Working Group). La spécification est publiée sous forme de RFC (RFC 9463) et de documents BIMI Group. Le déploiement grand public a démarré en 2021 chez Yahoo, puis 2022 chez Gmail et Apple Mail.

BIMI n'est pas un mécanisme de sécurité technique en soi — il s'appuie entièrement sur DMARC, SPF et DKIM pour la partie authentification. BIMI ajoute une couche d'expérience utilisateur : rendre visible ce qui était jusque là invisible dans la tuyauterie email.

BIMI ne protège pas techniquement contre le phishing. Mais il rend l'absence d'authentification visible par l'utilisateur final, ce qui transforme DMARC d'un contrôle technique invisible en un signal visuel perceptible.

02 — FonctionnementComment BIMI fonctionne techniquement

Le flux complet

1. Votre organisation envoie un email depuis son domaine officiel.
2. Le serveur destinataire vérifie SPF, DKIM et DMARC sur cet email.
3. Si DMARC passe avec alignement et que votre domaine est en politique quarantine ou reject, le serveur recherche un enregistrement DNS default._bimi.votredomaine.fr.
4. Cet enregistrement DNS contient un pointeur vers l'URL de votre logo (format SVG Tiny PS) et éventuellement un pointeur vers votre certificat VMC.
5. Si tout est conforme, le webmail récupère le logo et l'affiche à côté de l'email.

L'enregistrement DNS BIMI

Simple et lisible. Format typique :

default._bimi.exemple.fr IN TXT
"v=BIMI1; l=https://exemple.fr/logo-bimi.svg; a=https://exemple.fr/vmc.pem"

Les trois tags principaux :

• v : version de BIMI (toujours BIMI1).
• l : URL du logo au format SVG Tiny PS, servi en HTTPS.
• a : URL du certificat VMC (facultatif mais requis pour Gmail, Apple Mail, Yahoo).

Le format SVG Tiny PS

BIMI n'accepte pas n'importe quel SVG. Le format requis est SVG Tiny 1.2 Portable Secure : un sous-ensemble restrictif du SVG classique qui exclut tout élément potentiellement dangereux.

Contraintes techniques principales :

• Format carré (viewBox 0 0 x x).
• Taille de fichier recommandée < 32 Ko.
• Aucune référence externe (images, polices, scripts).
• Aucun JavaScript, aucune animation, aucune interactivité.
• Attribut baseProfile="tiny-ps" obligatoire.
• Attribut version="1.2" obligatoire.
• Fond opaque recommandé (pas de transparence totale).

La plupart des logos existants doivent être retravaillés ou simplifiés pour respecter ces contraintes. Des outils en ligne (SVG Tiny PS Converter, outils de validation BIMI Group) aident à vérifier la conformité.

Résolution par le client email

Le client email (Gmail, Apple Mail, Yahoo, Outlook…) effectue plusieurs vérifications avant d'afficher le logo :

• DMARC doit passer (alignement, politique stricte).
• L'enregistrement BIMI doit exister et être valide.
• Le SVG doit être accessible, conforme et de taille raisonnable.
• Le certificat VMC, s'il est exigé, doit être valide et non expiré.
• Le domaine de la marque ne doit pas figurer sur des listes de blocage internes.

Si une seule vérification échoue, l'affichage retombe sur l'avatar par défaut (initiales, image de contact, etc.). L'échec est silencieux — aucune erreur n'est remontée à l'expéditeur.

03 — VMCLe certificat Verified Mark

Qu'est-ce qu'un VMC ?

Le VMC (Verified Mark Certificate) est un certificat numérique qui atteste que votre organisation est bien la propriétaire du logo que vous voulez afficher. Il est basé sur X.509 (même format que les certificats TLS classiques) avec des extensions dédiées à BIMI.

Le VMC garantit aux webmails que le logo affiché correspond à une marque officiellement déposée et vérifiée, et n'est pas le logo d'une autre organisation usurpé par un tiers.

Émission du certificat

Seules deux autorités de certification sont actuellement habilitées à émettre des VMC :

• DigiCert : premier acteur du marché, environ 1 500 €/an selon les conditions.
• Entrust : second acteur, tarifs proches.

Le processus d'émission implique :

1. Vérification de l'identité légale de l'organisation demandeuse.
2. Vérification du dépôt de marque auprès d'un office reconnu (INPI, EUIPO, USPTO, OMPI, offices nationaux de la liste BIMI Group).
3. Vérification que le logo SVG correspond précisément au logo déposé.
4. Attente d'ancienneté minimale du dépôt (1 an en général).
5. Validation technique du SVG et du DNS.

Marques acceptées

Tous les offices de propriété intellectuelle ne sont pas reconnus. Les principaux acceptés par DigiCert et Entrust :

• INPI (France)
• EUIPO (Union européenne — marque européenne)
• USPTO (États-Unis)
• CIPO (Canada)
• UKIPO (Royaume-Uni)
• Offices nationaux de plusieurs pays listés par le BIMI Group
• OMPI (Organisation Mondiale de la Propriété Intellectuelle) — marques internationales

Les marques non enregistrées, les marques en cours de dépôt et les marques déposées depuis moins d'un an ne sont pas éligibles. Une marque figurative uniquement (sans partie verbale) peut poser problème si elle est considérée comme trop générique.

Alternative CMC (Common Mark Certificate)

Depuis 2023, un nouveau type de certificat est proposé : le CMC (Common Mark Certificate), pour les logos qui ne sont pas des marques déposées formellement mais qui ont un usage public documenté depuis au moins 5 ans (presse, réseaux sociaux, sites web archivés). Adapté aux ONG, aux médias, aux organisations publiques qui n'ont pas forcément déposé leur logo à l'INPI. Le support CMC dans les webmails est plus limité que le VMC classique.

04 — PrérequisCe qu'il faut avant BIMI

SPF déployé correctement

SPF doit lister tous les serveurs légitimes qui envoient des emails au nom de votre domaine. Erreurs fréquentes : oubli d'un prestataire marketing, dépassement de la limite de 10 lookups DNS, politique trop permissive (softfail au lieu de fail).

DKIM déployé sur tous les flux

DKIM doit être signé par tous les systèmes qui envoient des emails : serveur mail principal, prestataires marketing (Mailchimp, SendGrid, Salesforce Marketing Cloud), outils transactionnels (Postmark, Mailjet), outils internes (notifications applicatives, ERP, SIRH). Un seul flux non signé casse l'alignement DMARC.

DMARC en politique stricte

Le cœur du prérequis BIMI. Votre enregistrement DMARC doit être en p=quarantine (minimum) ou p=reject (recommandé). Les domaines en p=none sont exclus — BIMI ne s'affichera pas.

Passer de p=none à p=quarantine puis p=reject est un travail qui prend typiquement 3 à 12 mois selon la maturité de l'environnement email. Il faut surveiller les rapports DMARC (outils : Dmarcian, Valimail, EasyDMARC, Cloudflare DMARC Management), identifier tous les flux légitimes, les faire signer correctement, puis seulement durcir la politique.

Logo au format SVG Tiny PS

Votre logo doit être retravaillé au format SVG Tiny PS. Si le logo actuel est complexe, comporte des dégradés élaborés, des polices spécifiques ou des effets visuels, il faudra le simplifier. Nombre de marques ont profité de BIMI pour créer une variante simplifiée de leur logo adaptée aux petits formats.

Dépôt de marque (pour VMC)

Si vous visez Gmail, Apple Mail, Yahoo (donc la très grande majorité des destinataires), vous devez avoir une marque déposée à l'INPI, l'EUIPO ou un office équivalent depuis au moins un an. Si votre marque n'est pas encore déposée, le dépôt prend lui-même 6 à 12 mois avant d'être validé, avec un coût additionnel (~200 € à l'INPI pour une classe, plus selon les classes supplémentaires).

Hébergement HTTPS du logo

Le logo SVG et le certificat VMC doivent être servis en HTTPS depuis un serveur accessible publiquement. Attention aux protections anti-DDoS ou aux WAF trop agressifs qui peuvent bloquer les requêtes des serveurs webmail.

05 — DéploiementMise en place pas à pas

06 — SupportCompatibilité dans les clients email

Support complet

• Gmail (web, Android, iOS) — depuis 2022, avec coche bleue si VMC valide.
• Apple Mail (iCloud, iOS 16+, macOS Ventura+) — depuis 2022.
• Yahoo Mail — précurseur, depuis 2021.
• Fastmail — depuis 2021.
• La Poste / Orange / SFR — support progressif en France depuis 2023.

Support partiel ou en cours

• Microsoft 365 / Outlook : annonce d'un support BIMI début 2024, déploiement progressif courant 2025. Déploiement complet en cours sur 2026.
• Proton Mail : pas de support annoncé à date.
• Zoho Mail : support annoncé mais pas uniformément déployé.

Clients non compatibles

De nombreux clients lourds et serveurs mail auto-hébergés n'affichent pas BIMI. L'absence d'affichage n'empêche pas la bonne réception des emails — BIMI est purement cosmétique.

Affichage différencié selon VMC

Avec VMC valide, Gmail affiche une petite coche bleue à côté du logo, signalant explicitement que la marque est vérifiée. Sans VMC, le logo peut être affiché chez certains opérateurs mais sans coche de vérification. Pour maximiser l'impact, le VMC est quasi indispensable.

07 — LimitesCe que BIMI ne fait pas

Ne protège pas contre le typosquatting

BIMI vérifie l'authentification du domaine d'envoi, pas la ressemblance du domaine avec une marque connue. Un attaquant qui envoie depuis paypa1.com (avec un « 1 » au lieu d'un « l ») peut parfaitement configurer BIMI pour ce domaine et afficher son propre logo. Seule la vigilance du destinataire sur l'adresse exacte protège. Voir typosquatting.

Ne protège pas contre les comptes compromis

Si un attaquant prend le contrôle d'un compte légitime de votre organisation et envoie des emails depuis ce compte (BEC), BIMI affichera votre logo sur des emails frauduleux. BIMI atteste que l'envoi vient bien de votre infrastructure — pas que le contenu est légitime.

Coût significatif pour ce qu'il apporte

Entre le certificat VMC (~1 500 €/an), le travail de retraitement du logo et la charge opérationnelle du déploiement DMARC strict, le coût total pour une grande organisation peut atteindre 20 000 à 50 000 € la première année. Le retour sur investissement est surtout de l'ordre de la réputation et de la confiance, difficile à quantifier directement.

Dépendant des décisions des webmails

Les règles d'affichage sont contrôlées unilatéralement par les éditeurs de webmails. Ils peuvent durcir les conditions, exiger de nouveaux certificats, ou restreindre l'affichage à certaines catégories de marques. L'évolution du standard reste incertaine.

Critiques sur la centralisation

Le nombre très limité d'autorités de certification VMC (deux acteurs) crée un goulot d'étranglement contesté. Certains experts critiquent le fait que BIMI renforce implicitement le pouvoir de DigiCert, Entrust et des grands webmails sur l'écosystème email. Des alternatives décentralisées sont en discussion mais n'ont pas pris de traction concrète à ce jour.

Phishing cognitif possible

Paradoxe possible : une fois que les utilisateurs ont intégré que « logo = légitime », un attaquant qui usurpe un domaine non protégé par DMARC peut profiter de l'absence de tout logo pour paraître normal, alors que l'absence devrait au contraire alerter. La formation des collaborateurs reste donc centrale.

08 — FAQQuestions fréquentes

BIMI remplace-t-il DMARC ?

Non, c'est l'inverse. BIMI dépend de DMARC. Sans DMARC en politique stricte, BIMI ne s'affiche pas. BIMI est une couche visuelle qui s'ajoute à DMARC, pas une alternative. L'investissement à faire en priorité est sur SPF, DKIM, DMARC — BIMI vient naturellement après.

Mon logo sera-t-il toujours affiché ?

Non, pour plusieurs raisons. Même avec une configuration BIMI parfaite, l'affichage dépend du client email du destinataire (tous ne supportent pas BIMI), du contexte (certains filtres anti-phishing priment sur BIMI), et parfois de la réputation globale de votre domaine. Considérer BIMI comme un bonus, pas comme une garantie.

Peut-on avoir plusieurs logos selon les domaines ?

Oui. Chaque domaine d'envoi peut avoir son propre enregistrement BIMI avec un logo différent. Une entreprise avec plusieurs marques (groupe automobile, holding, filiales) peut configurer un logo par domaine. Cela nécessite un certificat VMC par marque.

BIMI fonctionne-t-il en B2B ?

Oui, avec des nuances. Les boîtes professionnelles sur Microsoft 365 bénéficieront du support BIMI progressif depuis 2025-2026. Pour les échanges entre entreprises utilisant Microsoft ou Google Workspace, l'affichage fonctionne de plus en plus. Pour les infrastructures auto-hébergées (Exim, Postfix sans webmail compatible), l'affichage est inexistant — mais la confiance en B2B repose souvent sur d'autres mécanismes (historique d'échange, contrats, signatures électroniques).

L'absence de BIMI dégrade-t-elle la délivrabilité ?

Non. Ne pas avoir BIMI n'a aucun impact négatif sur la délivrabilité ou sur les filtres anti-spam. BIMI est purement visuel. Ce qui impacte la délivrabilité, c'est DMARC, SPF, DKIM, la réputation IP, le contenu, le volume d'envoi, les plaintes des destinataires. Déployer BIMI ne « débloque » rien à ce niveau.