Frequently Asked Questions

BIMI, che sta per Brand Indicators for Message Identification, è un protocollo che consente ai mittenti di posta elettronica di autenticare il proprio dominio e di associare un logo della marca al proprio messaggio email. Ciò aiuta a garantire che le email vengano recapitate e che il mittente sia autenticato. BIMI ha quindi una stretta relazione con la cybersecurity in quanto aiuta a ridurre il rischio di phishing e di altri attacchi di spoofing delle email.

I certificati VMC (Valued-Added Certificate) utilizzati in BIMI aggiungono un ulteriore livello di sicurezza. Quando un mittente di posta elettronica ha un certificato VMC associato al proprio dominio, le email inviate con quel dominio sono firmate digitalmente e possono essere verificate da provider di posta elettronica o client di posta elettronica per autenticare l’identità del mittente.

Ciò significa che gli utenti finali possono essere sicuri che l’email proviene dalla società o dall’entità che possiede il certificato VMC, e non da un impostore che cerca di phishing. Inoltre, i provider di posta elettronica possono utilizzare il certificato VMC per verificare l’identità del mittente e mostrare agli utenti il logo registrato della società o dell’entità che ha il certificato, fornendo ulteriore trasparenza e sicurezza.

In generale, quindi, BIMI e i certificati VMC possono contribuire a migliorare la cybersecurity delle email, aumentando la fiducia degli utenti nell’autenticità delle email che ricevono e riducendo il rischio di cadere in trappole di phishing o altri attacchi di spoofing delle email.

Un certificato di posta elettronica, come il certificato VMC utilizzato in BIMI, fornisce un livello di protezione contro il phishing. Quando un mittente di posta elettronica ha un certificato VMC associato al proprio dominio, le email inviate con quel dominio sono firmate digitalmente e possono essere verificate da provider di posta elettronica o client di posta elettronica per autenticare l’identità del mittente.

Ciò significa che gli utenti finali possono essere sicuri che l’email proviene dalla società o dall’entità che possiede il certificato VMC, e non da un impostore che cerca di phishing. Inoltre, i provider di posta elettronica possono utilizzare il certificato VMC per verificare l’identità del mittente e mostrare agli utenti il logo registrato della società o dell’entità che ha il certificato, fornendo ulteriore trasparenza e sicurezza.

Il VMC è un tipo di certificato digitale utilizzato per autenticare l’identità del mittente di un messaggio di posta elettronica. Si tratta di un certificato che associa un dominio specifico a una società o a un’entità che lo possiede.

Per ottenere un certificato VMC, un’entità deve dimostrare di essere il legittimo proprietario del dominio per il quale richiede il certificato. Ciò può essere fatto attraverso un processo di verifica dell’identità, che può includere la presentazione di documenti di proprietà del dominio o la conferma dell’identità attraverso un metodo di verifica a due fattori.

Una volta ottenuto un certificato VMC, l’entità può utilizzarlo per firmare digitalmente i propri messaggi di posta elettronica. Questo fornisce un modo per gli utenti finali e i provider di posta elettronica di verificare che un messaggio proviene dalla società o dall’entità che possiede il certificato.

BIMI (Brand Indicators for Message Identification) è un protocollo di autenticazione che consente di associare un’immagine di un’azienda con un messaggio di posta elettronica. Il BIMI utilizza le informazioni del certificato di sicurezza (DMARC) di un dominio per associare un’immagine del marchio ai messaggi inviati da quel dominio.

Gli utenti finali vedranno l’immagine del marchio accanto al messaggio nella loro casella di posta elettronica, fornendo un’esperienza utente più sicura e riconoscibile. Ciò significa che se un’azienda ha un certificato DMARC e un’immagine BIMI valida, può vedere il proprio logo accanto alle email inviate dal proprio dominio, in modo che gli utenti possano riconoscere immediatamente l’azienda.

BIMI (Brand Indicators for Message Identification) è un’estensione di DMARC (Domain-based Message Authentication, Reporting & Conformance) che consente di associare un logo aziendale a un’email inviata da un dominio verificato.

BIMI è stato lanciato nel 2020 e nel corso del tempo sono stati fatti degli aggiornamenti e delle modifiche per migliorare la sua funzionalità. A gennaio 2021, Google ha annunciato di aver iniziato a supportare BIMI per i messaggi in entrata su Gmail. Inoltre, BIMI è stato integrato in alcune email clients come Yahoo! Mail, AOL Mail, Outlook.com e FastMail, per consentire agli utenti di visualizzare il logo aziendale accanto all’email.

È essenziale comprendere quali sono i diversi tipi di messaggi di errore restituiti dai server di posta.
Nel caso del’SPF, eccoli elencati:

None: significa che non esiste alcun record SPF nel dominio.
Neutral: i messaggi SPF neutri vengono inviati quando il proprietario del dominio non vuole affermare che gli indirizzi IP di invio sono autorizzati. Il punto è evidente dal fatto che il record SPF utilizza un tag di chiusura “?all”. È quasi simile a una situazione in cui non esiste un record SPF.
Pass: l’indirizzo IP di invio è autorizzato a inviare e-mail dal dominio.
Fail: i messaggi di errore SPF vengono inviati quando l’indirizzo IP di invio NON è autorizzato a inviare dal dominio.
Softfail: il mittente è autorizzato o non autorizzato a inviare e-mail dal dominio.
Temperror: questo potrebbe essere un errore che potrebbe essersi verificato a causa di alcuni problemi temporanei come il timeout DNS o altri problemi simili durante il processo di convalida SPF. Ciò non significa che il record SPF non sia valido, non trovato o che non abbia superato il processo di controllo del record SPF. Non c’è motivo di preoccuparsi se si riceve il carattere SPF da un solo server di posta. Ma se inizi a ricevere tali messaggi in modo coerente, devi ricontrollare il tuo record SPF.
Permerror: i server di posta inviano questi messaggi SPF permerror quando non sono stati in grado di verificare correttamente i record SPF. Di solito, questi errori sono causati da errori di battitura o errori di sintassi.

Se vogliamo abilitare BIMI con relativo marchio esclusivamente per un sottodominio, è comunque necessario avere una politica DMARC corretta anche a per il dominio principale.
BIMI richiede che il dominio di primo livello registrato sia coperto, come il sottodominio da una politica di reject DMARC o di quarantine al 100%.

Se infatti utilizzaimo il tool https://bimigroup.org/bimi-generator/ e interroghiamo ad esempio il sottodominio noreply.amazon.com, vedremo restituita in automatico l’analisi DMARC anche in relazione al dominio prioncipale:

I certificati digitali vengono usati oramai da anni per identificare persone, dispositivi, organizzazioni e altre entità nel mondo digitale.
I VMC sono certificati digitali emessi da una CA responsabile dell’esecuzione di uno standard di di verifica sull’organizzazione e sul soggetto richiedente il certificato a nome dell’organizzazione.

È possibile sfruttare i Verified Mark Certificate (VMC) per essere riconosciuti dall’ecosistema digitale per garantire la propria identità aziendale durante l’invio di e-mail ai propri clienti, partner e utenti.

I VMC includono i marchi registrati che vengono visualizzati nelle e-mail e unitamente allo standard DMARC aiutano a garantire gli utenti finali in merito all’origine e alla validità dell’e-mail come parte del nuovo standard BIMI.

Il termine spoof in quanto sostantivo è assimile alla beffa, invece come aggettivo o verbo, falso o falsificare.
Lo spoofing dell’e-mail si verifica quando il mittente falsifica il proprio indirizzo, impersonando quindi l’dentità di un altro indirizzo per sembrare legittimo.
Gli attacchi di spoofing e-mail di solito mirano a rubare le tue informazioni, infettare il tuo dispositivo con malware o richiedere denaro.

Il phishing si serve dello spoofing per inviare email sofisticate e studiate affinchè sembri proprio provengano da una fonte legittima, macon lo scopo di fare rivelare al destinatario informazioni personali e riservate. Come ad esempio numeri di carte di credito o credenziali di accesso.

Il caso del whaling è ancora più subdolo, la caccia alle balene è un tipo email fraudolenta di phishing in cui vengono presi di mira e impersonati utenti finali di alto livello, come dirigenti di aziende, politici e celebrità.
Uno dei casi più comuni, è ad esempio una email fraudolenta inviata a nome del CFO, con istruzioni precise per effettuare un bonifico.
Spesso va a buon fine e causa notevoli danni.

Innanzitutto, BIMI è il futuro della sicurezza della posta elettronica in quanto rafforza l’ecosistema della posta elettronica nel suo insieme. Per qualificarsi per BIMI, i domini di invio di un’organizzazione devono essere conformi allo standard DMARC ed ottenere un VMC (Verified Mark Certificate) da un’autorità di certificazione (CA) approvata come Entrust.
Oltre alla sicurezza, la visualizzazione del logo nei client di posta elettronica aumenta considerevolmente la fiducia visiva dei consumatori nelle e-mail.

Grazie ai requisiti di protezione della posta elettronica di DMARC e l’adozione di BIMI aiutano a migliorare lo stato di salute dell’intero ecosistema della posta elettronica.
Se infatti più organizzazioni adottano BIMI, significa che più organizzazioni all’interno dell’ecosistema diventano protette da DMARC e risulta quindi più difficile per i criminali informatici riuscire a rubare ed impersonare l’identità di un dominio.

Oltre alla sua importanza per la sicurezza dell’e-mail, BIMI offre una serie di altri vantaggi per le aziende, tra cui una migliore visibilità del marchio, una maggiore fiducia nella legittimità dell’e-mail e un migliore ricordo del marchio.
È stato anche dimostrato che ha un impatto positivo sul comportamento di acquisto dei consumatori.

BIMI sta per Brand Indicators for Message Identification.

Questo nuovo standard consente alle aziende di fare visualizzare il logo del proprio marchio registrtato sulle e-mail autenticate DMARC.

Grazie all’utilizzo di un Certificato VMC (Verified Mark Certificates). BIMI con VMC aiuta a distinguere la vostra comunicazione nella posta in arrivo e ha dimostrato di essere in grado di migliorare l’interazione dei consumatori e la fiducia nelle e-mail.

Inanzitutto, secondo RFC 7208 Sezione 3.3, un singolo record SPF può superare i 255 caratteri, ma una singola stringa non può.
Detto questo, può capitare di avere dei record txt, nel nostro caso record SPF, che necessitano di una lunghezza maggiore di 255 caratteri.
In questo caso la soluzione più robusta, che permette di ottenere risposte corrette alle interrogazioni DNS, come ad esempio utilizzando dig, è di usare la direttiva include.
Altre soluzioni, come quella che permettono di utilizzare alcuni provider DNS, e cioè di creare più stringhe, o stringhe auto gestite che vanno oltre i 255 caratteri, possono come detto ritornare errori nel caso di interrogazioni.

Per cui, se dobbiamo inserire un record che va oltre i 255 caratteri possiamo fare come segue, utilizzando la direttiva include e creando un record txt aggiuntivo per ciascun include:
Una volta creato il primo record per la zona @, aggiungeremo gli altri, rimanendo nei limiti:

@ “v=spf1 include:amazonses.com include:spf.protection.outlook.com include:spf1.bimilogo.it include:spf2.bimilogo.it.com -all”
spf1.bimilogo.it “v=spf1 ip4:8.8.8.8 ip4:1.1.1.1 -all”
spf2.bimilogo.it “v=spf1 ip4:1.2.3.4 ip4:4.4.4.4 ip4:4.3.2.1 -all”

Il documento contenente le direttive per l’implementazione di BIMI (Brand Indicators for Message Identification) e l’ottenimento di certificati VMC, è stato pubblicato dallo IETF, l’Internet Engineering Task Force, che è l’organismo che definisce i protocolli Internet operativi standard come TCP/IP.
Questo il link: https://datatracker.ietf.org/doc/html/draft-brotman-ietf-bimi-guidance

Ad oggi, le linee guida di implementazione di certificati VMC indicano i seguenti uffici di proprietà intellettuale:

• European Union Intellectual Property Office,
• United States Patent and Trademark Office (USPTO),
• Canadian Intellectual Property Office,
• UK Intellectual Property Office,
• Deutsches Patent- und Markenamt,
• Japan Trademark Office,
• Spanish Patent and Trademark Office O.A.,
• IP Australia.
• Intellectual Property India
• Korean Intellectual Property Office
• Instituto Nacional da Propriedade Industrial

Per abilitare DKIM per un sottodominio, analogamente a quanto accade per i domini principali, è necessario creare una coppia di chiavi privata/pubblica per DKIM, salvare la chiave privata sul server di invio e pubblicare la chiave pubblica sul sottodominio nel DNS in modo che diventi accessibile al server ricevente.

Prima che un messaggio di posta elettronica lasci il server di invio, il server utilizza la chiave privata per generare una firma e inserirla nel messaggio insieme al selettore DKIM utilizzato per la firma.

Dopo che il server ricevente ha ricevuto il messaggio, estrae il sottodominio e il selettore DKIM dal messaggio, li utilizza per recuperare la chiave pubblica dal DNS, quindi esegue la verifica DKIM come nello scenario del dominio.

Facciamo subito un esempio pratico e significativo.

L’ufficio acquisti riceve una email dal proprio CFO, che fornisce istruzioni per pagare urgentemente, tanto per cambiare, il fornitore indicato, per una somma di 250.000€. All’interno dell’email è presente anche l’IBAN su cui effettuare il versamento. Il pagamento viene effettuato come da indicazioni. Qualche tempo dopo la brutta sorpresa, l’email era fraudolenta, non inviata dal CFO. Ma il pagamento è stato purtroppo reale.

Questo è il whaling, o whale phishing, cioè una tecnica di cyber attacco che si serve delle email dei dirigenti e vertici aziendali, come ad esempio il CEO, CFO, CIO o qualunque profio abbia poteri decisionali o che siano in possesso di informazioni riservate.

Il fine del whaling è di indurre il destinatario a credere di essere stato davvero contattato da una figura importante dell’azienda, e di fargli compiere azioni a vantaggio di chi commette il crimine informatico. Come nell’esempio iniziale.

Il servizio BIMI Logo, da uno strumento importante, tramite l’implementazione di BIMI, utile a proteggersi da attacchi di questo tipo.

L’autenticazione delle email svolge un compito essenziale nella deliverability perchè rassicura gli ISP (Internet Service Provider) su chi è il mittente di un email. Potendo dimostrare la propria legittimità come sender di un messaggio, un’azienda non deve temere i filtri antispam dei providers. Così i messaggi inviati giungono a destinazione e anche gli utenti stessi sono più tutelati, al sicuro da truffe e raggiri online veicolati via email (per esempio il phishing), che per ingannare gli utenti falsificano il mittente.

BIMI funziona insieme a SPF, DMARC e DKIM per dimostrare ai client di posta elettronica che tu… sei davvero tu e non un ignoto truffatore.

In attesa che sia ultimato il progetto pilota di Gmail per supportare BIMI, con cui permetterà alle organizzazioni che verificano le loro email con DMARC di confermare la proprietà dei loro loghi aziendali e di trasmetterli in modo sicuro a Google, ci sono nuovi documenti ufficiali postati dal BIMI Working Group che dovresti conoscere se desideri utilizzare BIMI per le tue email. Nella bozza IETF (ultimo aggiornamento: 31 luglio 2020) vengono mostrati i requisiti necessari ai mittenti che vogliono sfruttare BIMI:

1) Ogni email deve essere autenticata con SPF e DKIM.

2) Ai mittenti è richiesta una policy DMARC robusta. Robusta sta per “p=reject” o “p=quarantine”, quindi da evitare “p = none” o “pct<100”.

Da notare che il requisito è sul dominio dell’organizzazione, non sui sottodomini, ossia: se utilizzo un sottodominio come indirizzo del mittente (per esempio: bimilogo@news.bimilogo.it), l’applicazione dovrebbe essere su bimilogo.it e non solo su quel particolare sottodominio. Perciò creare la policy solo sul sottodominio non basta per far visualizzare il tuo logo.

3) Le immagini compatibili con BIMI richiedono una forma quadrata, con un colore per lo sfondo a tinta unita, salvate nel formato SVG (Scaled Vector Graphic) e sono soggette alle limitazioni definite nel SVG Tiny Portable/Secure profile. Su Valimail è disponibile un breve tutorial su come creare loghi compatibili con BIMI mediante l’utilizzo di immagini SVG.

4) Ai brand verrà richiesto di ottenere una certificazione digitale che dimostri l’autenticità/proprietà del brand (VMC–Verified Mark Certificate) per visualizzare un logo BIMI. Per fare ciò occorre:

a) registrare il logo presso l’ufficio marchi nazionale (trademark office)

b) contattare una delle autorità di certificazione qualificate BIMI. 

5) I record BIMI vanno pubblicati correttamente nel DNS

BIMI è un acronimo per Brand Indicators for Message Identification. È un modello emergente nell’universo della posta elettronica che fornisce ad aziende e brand un elemento in più per rafforzare e accreditare la propria reputazione come mittente: il logo. 

Come altri metodi di autenticazione e verifica (SPF, DMARC e DKIM) BIMI è un record di testo che risiede sui tuoi server. Fa leva sulle policy DMARC in uso e su altri metodi di autenticazione di supporto come DKIM e SPF. Ma BIMI è differente perché ti permette di far visualizzare il logo della tua azienda nelle caselle di posta supportate, mettendo il tuo marchio in primo piano.

DMARC ( Domain-based Message Authentication, Reporting and Conformance ) è un protocollo di autenticazione e-mail . Serve per proteggere i domini e-mail da un uso non autorizzato, come accade nel caso dello spoofing e-mail . Grazie all’implementazione di DMARC è possibile proteggere un dominio dall’utilizzo in attacchi di compromissione delle e-mail aziendali , e-mail di phishing , whaling e altre attività di minacce informatiche .

Se stai già utilizzando SPF, DKIM e DMARC nel tuo programma di posta elettronica, perché dovresti aver bisogno di BIMI?

 BIMI aggiunge un ulteriore strumento all’autenticazione del mittente e perciò può aiutarti a migliorare la deliverability dei tuoi invii. Avendo a disposizione un’autenticazione più forte, gli utenti e i sistemi di security dei provider hanno maggiore fiducia nella fonte delle email.

D’altra parte, le aziende e i brand che usano BIMI proteggono la propria reputazione, prevenendo un utilizzo fraudolento dei loro IP. 

La più rivoluzionaria innovazione di BIMI è che garantisce un impatto visivo subito nella inbox: gli utenti che ricevono le tue email verificate vedono subito a fianco del al tuo nome mittente il tuo logo, così possono velocemente riconoscere i tuoi messaggi ed avere la certezza che provengono da te. Ciò garantisce una migliore esperienza del cliente, un elemento fondamentale per fortificare la relazione brand-cliente.

BIMI permette ai possessori di dominio una coordinazione con i provider delle caselle di posta (MBP), i client di posta elettronica (MUA) e il programma che riceve le email del client (MTA) nella visualizzazione di indicatori specifici del brand accanto ai messaggi correttamente autenticati.

Quando viene consegnato un messaggio, il servizio email del destinatario ricerca il file di testo BIMI per verificare l’autenticità de mittente del messaggio. Questo record contiene un URL che indirizza a un logo, di cui a breve mostreremo quali sono i requisiti richiesti. Un provider di posta controllerà la policy DMARC del dominio di invio e si accerterà che sia inclusa nella convalida BIMI. Se entrambi i check risultano positivi, il servizio di posta elettronica sarà abilitato all’inserimento di quel logo a fianco del messaggio nella posta in arrivo del destinatario.