Cos'è lo standard BIMI per verificare e autenticare il mittente di un'email. In Gmail arriva la spunta blu

Chi utilizza la posta elettronica per lavoro ed è avvezzo anche alla configurazione dei servizi email lato server, conosce certamente strumenti di validazione dei messaggi come SPF, DKIM, DMARC e SRS. La loro adozione accresce la deliverability ed evita che le email vadano nella cartella spam dei vari destinatari.

Meno conosciuto è invece lo standard BIMI (Brand Indicators for Message Identification), un protocollo di autenticazione delle email che consente ai mittenti di autenticare i messaggi di posta spediti ed aumentare la loro riconoscibilità grazie anche alla possibilità di visualizzare il logo aziendale accanto alle email inviate, sul client dei destinatari.

Quando un’organizzazione invia un’email, il server di posta del destinatario verifica se l’email è autentica e se l’organizzazione ha aderito al protocollo BIMI. Se l’email supera la verifica di autenticazione e l’organizzazione ha scelto di usare BIMI, il logo  dell’impresa viene mostrato accanto all’email.

L’obiettivo principale dello standard BIMI è quello di fornire ai destinatari di posta elettronica un modo per identificare rapidamente l’autenticità dei messaggi email, riducendo il fenomeno del phishing e permettendo l’individuazione dei messaggi di spam. Il protocollo BIMI aiuta inoltre le aziende a rafforzare il proprio marchio e a migliorare il coinvolgimento del destinatario.

Il protocollo BIMI è stato sviluppato da un gruppo di lavoro denominato AuthIndicators Working Group, il quale fa parte del consorzio DMARC (Domain-based Message Authentication, Reporting & Conformance).

Come implementare BIMI

BIMI “non reinventa la ruota” ma fa uso degli standard preesistenti per offrire a mittenti e destinatari un modo ancora più efficace per autenticare i messaggi di posta. Per attivare BIMI all’interno della propria azienda e migliorare la consegna dei messaggi inviati nella Posta in arrivo di ogni destinatario, è necessario seguire alcuni passaggi:

• Implementare il protocollo DMARC per la propria organizzazione e configurarlo in modo che le email non autenticate o che non rispettano le policy di autenticazione siano gestite in modo adeguato.
• Creare un file SVG del logo corrispondente al proprio marchio e pubblicarlo su un server Web accessibile tramite HTTPS. Il logo deve essere in formato SVG (Scalable Vector Graphics), con una dimensione massima di 512×512 pixel e una dimensione massima del file di 50 KB.
• Creare un record DNS BIMI per il proprio dominio che punti all’URL del file SVG del logo. Il record DNS BIMI è costituito da una stringa di testo (il valore del record) che inizia con v=BIMI1 e termina con l’URL del file SVG del logo.
• Verificare che il record DNS BIMI sia corretto e valido, utilizzando uno strumento di verifica DNS come “dig” o “nslookup“.
• Aggiornare le proprie policy DMARC per includere il parametro pct. Esso esprime la percentuale di email inviate che devono avere un record DNS BIMI valido per visualizzare il logo del marchio.
• Verificare che il proprio logo BIMI sia visualizzato correttamente nelle email inviate, utilizzando uno strumento di test come BIMI Inspector.

Google ha pubblicato una guida passo passo per attivare BIMI che descrive nel dettaglio tutti i passi da seguire.

Gmail mostra la spunta blu per i messaggi che superano le verifiche BIMI e provengono da mittenti certificati

Google ha annunciato che da oggi il segno di spunta blu entra a pieno titolo nell’interfaccia di Gmail: il simbolo viene esposto accanto agli indirizzi email dei mittenti che hanno adottato BIMI e aiuterà gli utenti a identificare i messaggi di mittenti legittimi rispetto a quelli provenienti da soggetti non verificati o verificabili con certezza.

L’icona della spunta blu si presenta come nell’immagine in figura: quando ci si passa sopra, rivela che il mittente ha verificato il proprio dominio e il logo mostrato nell’immagine del profilo.

Il segno della spunta blu è visibile all’intera platea di utenti Gmail per le sole email verificate, quindi sia ai possessori di account personali, ai clienti di Google Workspace e a quelli del precedente G Suite. Google ha chiarito che gli utenti finali non devono intraprendere alcuna azione: il nuovo simbolo appare automaticamente in corrispondenza dei messaggi che superano le verifiche.