Guide sur les records DNS BIMI pour vos courriels.

Les mesures de sécurité pour les courriels évoluent constamment. Pour suivre le rythme, il faut adopter des solutions efficaces. C’est ici que le BIMI (Brand Indicators for Message Identification) entre en jeu. Il s’agit d’un excellent moyen de renforcer la confiance des destinataires. Concrètement, il affiche le logo de votre entreprise dans certains clients de messagerie. Ce logo apparaît directement à côté de vos courriels, ce qui renforce votre image de marque.

Voici un exemple concret d’un courriel avec un enregistrement BIMI :

Dans cet article, je vous explique en détail ce qu’est le BIMI. Vous découvrirez aussi comment il fonctionne et comment le configurer. Plus précisément, je vous guide pour créer un enregistrement DNS BIMI. Grâce à cela, vos courriels pourront afficher votre logo personnalisé. C’est une belle façon de renforcer votre image de marque et de rassurer vos destinataires.

Qu’est-ce que BIMI ?

BIMI est un standard qui permet aux entreprises d’afficher leur logo de marque à côté de leurs courriels authentifiés dans les boîtes de réception des destinataires. Il repose sur les protocoles d’authentification des courriels tels que SPF, DKIM et DMARC pour s’assurer que le message provient bien de l’expéditeur légitime.

L’objectif principal du BIMI est d’améliorer la reconnaissance de la marque tout en renforçant la sécurité contre le phishing et les attaques par usurpation d’identité.

Comment fonctionne BIMI ?

Le BIMI ne fonctionne pas de manière autonome. Il repose d’abord sur le protocole DMARC. Ce dernier dépend lui-même de SPF et DKIM. Autrement dit, vous devez d’abord configurer ces trois éléments dans la zone DNS de votre domaine. Avant d’aller plus loin, assurez-vous qu’ils sont bien en place. Si ce n’est pas encore fait, je vous recommande de corriger cela dès maintenant !

• Comment bien générer un enregistrement SPF et comprendre son importance
• DKIM : Comprendre et mettre en place cet outil indispensable pour sécuriser vos courriels
• Guide complet sur les enregistrements DMARC pour protéger vos courriels

Une fois tout en place, le record BIMI va simplement indiquer à votre logiciel de courriel où trouver l’image à afficher à côté de vos messages. C’est un peu comme ajouter une signature visuelle à vos courriels, ce qui est super pour renforcer votre image de marque.

Par contre, il y a un petit détail à prendre en compte : certains clients de messagerie exigent que l’image soit validée comme une marque de commerce enregistrée avant de l’afficher. Pour ce tutoriel, je ne vais pas entrer dans les démarches d’enregistrement d’une marque ni dans la signature de l’image, mais sachez que ça peut être une étape nécessaire selon la plateforme que vous utilisez.

Au moment où j’écris cet article, certains fournisseurs de messagerie, comme Gmail, exigent un certificat VMC pour afficher le logo BIMI, tandis que d’autres, comme Yahoo! Mail, acceptent les enregistrements BIMI auto-déclarés sans certificat VMC. Il est probable que ça puisse changer dans le futur.

Création du record BIMI

La création d’un record BIMI se fait en plusieurs étapes. D’abord, il faut préparer le logo, ensuite créer le record BIMI, et enfin l’ajouter dans la zone DNS du domaine. Rien de bien compliqué, mais chaque étape est importante pour s’assurer que tout fonctionne correctement.

Création du logo pour le record BIMI

Vous avez carte blanche pour le design de votre logo, mais attention, il y a quelques exigences techniques à respecter pour qu’il soit valide et bien affiché. Voici les critères à suivre :

• L’image doit être dans un format vectoriel et sauvegardée avec l’extension SVG (Scalable Vector Graphics).
• Le fond de l’image doit être de couleur unie (non transparent).
  • BIMI impose un fond coloré pour éviter que le logo ne disparaisse sur certains arrière-plans d’interface utilisateur (ex. mode sombre).
  • Certains clients de messagerie affichant BIMI utilisent des arrière-plans qui pourraient ne pas bien rendre avec un logo transparent.
• La taille du fichier ne doit pas dépasser 32 kilo-octets.

Une fois ces étapes franchies, il est essentiel de s’assurer que votre fichier est conforme au profil SVG Portable/Sécurisé (SVG P/S). Ce profil est une version plus stricte du SVG Tiny 1.2, spécifiquement adaptée aux exigences du BIMI.

Heureusement, pas besoin de s’arracher les cheveux pour cette conversion ! Le groupe derrière BIMI a mis en place des outils pour transformer un fichier SVG standard en SVG P/S. Vous pouvez les retrouver sur GitHub.

Publication de votre logo

Pour que votre logo soit reconnu et affiché correctement par les différents fournisseurs et logiciels de courriels, il doit être accessible en ligne. Cela signifie que votre fichier SVG doit être hébergé sur un serveur sécurisé avec un certificat SSL.

En d’autres mots, l’URL de votre logo doit commencer par https:// et non http://. Sans cela, certains fournisseurs de courriels risquent de ne pas le reconnaître.

Si vous avez besoin d’un hébergement avec SSL, sachez que tous nos plans d’hébergement partagé incluent un certificat SSL. Vous serez donc prêt à publier votre logo en toute sécurité !

Vérification du record DMARC

Avant d’ajouter un record BIMI, il est essentiel de s’assurer que votre enregistrement DMARC est correctement configuré. En effet, BIMI fonctionne uniquement si DMARC est en place et respecte certains critères.

Avoir un record DMARC ne suffit pas, il doit respecter ces deux règles clés :

1. La politique du domaine et du sous-domaine ne peut pas être à none. Elle doit être configurée sur quarantine ou reject. Par exemple : « p=reject; sp=reject; ».
2. La politique doit être appliquée à 100% des courriels. Cela signifie que votre record DMARC doit inclure l’élément suivant : « pct=100; ».

Si votre politique DMARC est définie sur p=none, BIMI ne sera pas pris en charge par certains fournisseurs de messagerie, ce qui empêchera l’affichage de votre logo.

Si vous n’êtes pas certain de la configuration de votre DMARC, je vous recommande d’utiliser un outil de vérification DMARC en ligne ou de vérifier directement dans votre zone DNS.

S’assurer que DMARC est bien configuré est la première étape pour que votre logo apparaisse correctement dans les boîtes de réception compatibles

Création du record BIMI

Le record BIMI est en fait un enregistrement TXT que vous devrez ajouter à la zone DNS de votre domaine. Il est composé de trois parties principales. Voici un exemple de record BIMI :

v=BIMI1; l=https://votredomaine.com/mon-image-bimi.svg; a=

Explication des éléments :

• v=BIMI1 : Indique la version du standard BIMI.
• l=https://votredomaine.com/mon-image-bimi.svg : C’est l’URL où est hébergé votre logo en format SVG. Il faudra bien sûr remplacer cette adresse par celle de votre propre logo.
• a= : (Facultatif) Ce champ est utilisé pour ajouter un certificat VMC (Verified Mark Certificate) si votre logo est officiellement enregistré comme marque de commerce.

Ajout du record BIMI à la zone DNS

Une fois votre enregistrement BIMI prêt, il faudra l’intégrer à votre zone DNS. Pour cela, vous devez créer un nouveau record TXT avec le sous-domaine default._bimi et y insérer votre enregistrement.

Exemple d’ajout dans la zone DNS :

• Nom : default._bimi.votredomaine.com.
• Type : TXT
• Valeur : v=BIMI1; l=https://votredomaine.com/mon-image-bimi.svg; a=

Une fois le record en place, il faudra patienter quelques heures (voire 24 à 48h) pour que la propagation DNS soit complète et que votre logo commence à apparaître dans les clients de messagerie compatibles.

Vérification de votre record BIMI

La dernière étape, facultative mais fortement conseillée, est de s’assurer que votre record BIMI fonctionne correctement. Rien de pire que de tout configurer et de se rendre compte après coup que quelque chose cloche !

Méthode traditionnelle : envoi de test

La façon la plus simple de tester BIMI est d’envoyer un courriel depuis votre adresse vers une personne (ou vous-même) utilisant un logiciel ou une interface compatible, comme SmarterMail. Si vous avez tout configuré correctement, votre logo apparaîtra à côté du message.

Utilisation d’outils en ligne

Si vous voulez un diagnostic plus détaillé, utilisez des outils en ligne pour vérifier votre record BIMI et vous assurer d’avoir bien suivi toutes les étapes. Voici mes deux outils préférés :

• BIMI Inspector : Permet d’analyser votre configuration BIMI en profondeur.
• MXToolbox BIMI Lookup : Vérifie votre enregistrement BIMI et détecte d’éventuels problèmes de configuration.

Ces outils vous aideront à identifier d’éventuelles erreurs et à confirmer que les services de messagerie compatibles prennent bien en charge votre logo.

Une note sur les certificats VMC (Verified Mark Certificates)

Il est possible de certifier votre logo avec un certificat VMC (Verified Mark Certificate). Une fois certifié, votre logo sera affiché de manière garantie par tous les logiciels et interfaces prenant en charge les enregistrements BIMI. Cependant, ce processus est plus long et coûteux.

Étapes pour obtenir et appliquer un certificat VMC

1. Enregistrer votre logo en tant que marque de commerce officiel
   • Cette démarche peut prendre entre 6 mois et 1 an.
   • Il est recommandé de faire appel à un cabinet d’avocats spécialisé pour vous assurer que toutes les étapes sont correctement suivies.
2. Acheter un certificat VMC auprès d’une autorité reconnue
   • L’autorité de certification (CA) devra valider votre identité avant de vous délivrer un certificat VMC. Cette validation peut se faire de plusieurs manières : en personne, via vidéoconférence ou par authentification notariale. La méthode exacte dépend de l’autorité émettrice.
3. Publier le certificat obtenu
   • Le certificat est généralement fourni sous la forme d’un fichier avec l’extension .PEM.
   • Ce fichier doit être hébergé sur un serveur web public, idéalement au même endroit que votre logo BIMI.
4. Ajouter l’emplacement du certificat dans votre record BIMI
   • Il suffit d’inclure l’URL du certificat dans votre enregistrement BIMI à l’aide de la balise a=.

En utilisant un certificat VMC, vous augmentez vos chances que les fournisseurs de messagerie reconnaissent et affichent correctement votre logo.

Conclusion

Mettre en place un enregistrement BIMI peut sembler technique au premier abord, mais en suivant les étapes décrites dans cet article, vous devriez être en mesure d’afficher fièrement votre logo à côté de vos courriels. Ce petit détail peut faire une grande différence en renforçant la reconnaissance de votre marque et en inspirant davantage de confiance à vos destinataires.

En résumé, voici les points clés à retenir pour réussir votre configuration BIMI :

• Vous devez configurer DMARC correctement avec une politique quarantine ou reject, que le serveur appliquera à 100 % des courriels.
• Votre logo doit respecter les exigences techniques (format SVG, fond transparent, taille inférieure à 32 Ko).
• Hébergez l’image sur un serveur sécurisé (avec un certificat SSL).
• Vous devez ajouter correctement le record BIMI à votre zone DNS sous le sous-domaine default._bimi.
• Terminez le processus en effectuant une vérification finale avec un test d’envoi et des outils spécialisés afin de valider le bon fonctionnement.

BIMI est un excellent moyen d’améliorer la visibilité et la légitimité de votre marque dans les boîtes de réception. Même si son adoption est encore en cours chez certains fournisseurs de messagerie, il représente l’avenir de l’authentification visuelle des courriels.

Si vous n’avez pas encore mis en place BIMI, c’est peut-être le bon moment pour franchir le pas et donner une image encore plus professionnelle à vos communications !