In passato ho scritto riguardo ad alcuni record DNS che permettevano ai server di posta di verificare la provenienza dell’email dal proprio dominio, fornendo anche uno strumento di monitoraggio per le email erroneamente inviate nello spam.

Nella famiglia di record DNS per le email, esiste un’ulteriore campo, destinato alle medie/grandi aziende, ovvero il BIMI (Brand Identification for Message Identification), che non è altro che l’immagine che compare per il mittente dell’email, come ad esempio PayPal

Prerequisiti

Per poter utilizzare un record BIMI bisogna soddisfare alcune caratteristiche principali:

1. Aver settato correttamente i record SPF, DKIM e DMARC. Per il record DMARC è richiesto che il campo per le policy di rifiuto sia: Quarantine o Reject, al 100%
2. Avere un logo in formato SVG Tiny PS. Rispetto al normale SVG, il formato utilizza solo strutture geometriche, rendendolo l’immagine sicura da utilizzare.
3. (opzionale) Un certificato VMC o CMC che attesti la proprietà del logo.

Per maggiori informazioni consultare il sito del BIMI Group.

Se non avete un logo SVG o non è nel formato richiesto, potete consultare la pagina del gruppo BIMI che mette a disposizione un tool per creare una immagine SVG nel formato corretto.

Implementazione

Non essendoci un record DNS attualmente riconosciuto per il valore BIMI, si utilizza il record di tipo TXT, come anche usato dai tre record sopra menzionati: SPF, DKIM e DMARK.

Per poter mostrare il logo BIMI, bisognerà creare il record TXT default._bimi.<dominio> e nel valore inserire i parametri richiesti:

• Versione BIMI, attualmente la versione è BIMI1 (v=BIMI1)
• L’URL Immagine SVG, il link diretto al file SVG accessibile da internet (l=<URL>)
• (opzionale) L’URL del certificato VMC o CMC, il link diretto del certificato (a=<URL>)
• (opzionale) Preferenza per i domini che supportano gli avatar degli utenti (avp=<personal o brand>)

Aggiungo una nota per il campo avp, questo campo serve ai server di posta se devono mostrare l’avatar dell’utente che ha inviato il messaggio (avp=personal) rispetto che al logo del brand (avp=brand), qual ora l’avatar fosse presente.

Ogni campo è separato da punti e virgola. Il valore del campo sarà quindi composto nel seguente modo:

v=BIMI1; l=https://…; a=https://…; avp=brand;

In alternativa, potete sempre consultare il sito del gruppo BIMI, vi basterà riempire il modulo per poter generare la vostra stringa BIMI.

Una volta creata la stringa, andate nel pannello del vostro DNS e create un nuovo record TXT per il dominio: default._bimi.<dominio>, nel valore richiesto inserite la stringa creata e salvate il nuovo record DNS.

Visualizzare il record BIMI nei domini

Andiamo a vedere come si può visualizzare il campo BIMI per altri domini.

Tramite il terminale, nslookup per Windows o dig per Linux/Mac, o tramite siti web che permettono di effettuare lookup di domini, si può cercare il record TXT per il dominio default._bimi.<dominio>, come ad esempio per i domini:

• default._bimi.amazon.com
• default._bimi.cloudflare.com
• default._bimi.paypal.com

Il valore che ne uscirà fuori sarà la stringa BIMI.

Sempre tramite il sito del gruppo BIMI, c’è il tester per verificare se il record TXT BIMI, e le configurazioni DMARK, soddisfano le condizioni necessarie affinché i server di posta possano mostrare il logo.

Considerazioni

Tralasciando che questo sistema è ancora in draft, e sta venendo valutato per diventare uno standard, per un sito web piccolo, come questo, o anche una azienda con un fatturato relativamente basso, avere accesso a dei certificati VMC o CMC, e successivamente mantenerli, è decisamente fuori portata economica.

Benché la specifica di implementazione non richiede obbligatoriamente l’attestazione del logo, questo è totalmente inutile se i grandi server di posta tendono a mostrare il BIMI solo se il certificato inserito nel BIMI è valido.

Posso pensare che questa scelta è per proteggere l’utenza che, vedendo il logo dell’email, può pensare che l’email sia autentica e cader vittima di phishing, poiché il dominio ha utilizzato a scopo malevolo un logo che non gli appartiene.

Purtroppo vedo questo sistema utile solo alle grandi aziende che possono permettersi i certificati VMC o CMC.