Abra sua caixa de entrada do Gmail e role pelos seus emails. Alguns têm logos de marca coloridos ao lado — o 'N' da Netflix, o ícone do LinkedIn, o logo do seu banco. Outros têm apenas uma inicial genérica ou uma silhueta cinza. Em quais emails você confia mais de forma instintiva?
Essa exibição de logo não é aleatória, e não é apenas o Gmail puxando imagens de algum lugar. É o BIMI — Brand Indicators for Message Identification — um padrão que permite que proprietários de domínio especifiquem qual logo deve aparecer ao lado dos seus emails autenticados.
O BIMI é a peça mais recente do quebra-cabeça de autenticação de email, e é diferente de SPF, DKIM e DMARC em um aspecto importante: não trata diretamente de segurança. Trata de aproveitar sua postura de segurança para construir reconhecimento de marca e confiança. Pense nele como a recompensa por fazer a autenticação de email do jeito certo.
Como o BIMI funciona
A mecânica do BIMI é direta. Você publica um registro DNS que aponta para o arquivo do seu logo. Quando um cliente de email compatível recebe um email autenticado do seu domínio, ele consulta seu registro BIMI, busca o logo e o exibe ao lado do email.
Mas aqui está o ponto: o BIMI só funciona se seu email passar no DMARC com uma política de quarantine ou reject. Se você ainda está em p=none, ou se o email específico falhar na autenticação, sem logo. Isso é intencional — o BIMI foi projetado para ser um indicador de confiança, e essa confiança não tem sentido se qualquer um puder exibir qualquer logo.
O logo em si deve estar em formato SVG, especificamente SVG Tiny Portable/Secure (SVG P/S). Este é um subconjunto restrito de SVG que impede scripts embutidos ou referências externas — medidas de segurança para evitar que o próprio logo seja um vetor de ataque. O arquivo de logo da sua equipe de marketing provavelmente não está nesse formato; você precisará convertê-lo.
Alguns provedores de email (notavelmente o Gmail) também exigem um Verified Mark Certificate (VMC) de uma certificate authority. Isso adiciona outra camada de verificação — a CA confirma que você realmente detém a marca registrada do logo que está tentando exibir. É um custo e um processo adicionais, mas evita que alguém registre um domínio parecido e exiba seu logo.
O argumento de negócios para o BIMI
O BIMI exige esforço: aplicação do DMARC, preparação do logo e, possivelmente, um VMC. Vale a pena?
Os dados sugerem que sim, pelo menos para marcas que enviam volume significativo de email. Estudos mostram que emails com logos BIMI têm taxas de abertura mais altas — alguns relatórios citam melhoria de 10% ou mais. Isso faz sentido: um logo reconhecível em uma caixa de entrada lotada chama atenção e sinaliza legitimidade.
Há também um benefício defensivo. Se sua marca é frequentemente impersonada por criminosos de phishing, o BIMI ajuda seus emails legítimos a se destacarem. Os destinatários aprendem a procurar o logo; sua ausência vira um sinal de alerta. Você está basicamente treinando seu público a identificar falsos.
Para empresas B2B, o BIMI sinaliza sofisticação técnica. Se você vende para outras empresas, especialmente em setores de tecnologia ou com alta consciência de segurança, ter o BIMI implementado mostra que você leva email a sério. É algo pequeno, mas coisas pequenas somam na construção de confiança.
O contra-argumento é que o suporte ao BIMI ainda é limitado. Gmail e Yahoo o suportam; a Microsoft está pilotando; muitos provedores menores não. Se a maioria dos seus destinatários usa o Outlook, o investimento talvez ainda não compense. Mas o suporte dos clientes de email está se expandindo, e os adotantes iniciais têm o benefício de se destacarem enquanto o BIMI ainda é relativamente raro.
Configurando o BIMI
Antes de começar, verifique se sua política DMARC está em p=quarantine ou p=reject com boas taxas de alinhamento. O BIMI não funcionará sem essa base. Se você ainda está trabalhando para aplicar o DMARC, conclua isso primeiro.
Em seguida, prepare seu logo. Ele precisa ser quadrado, centralizado e funcionar em tamanhos pequenos (ele costuma aparecer em 40x40 pixels ou menor). O arquivo deve estar no formato SVG Tiny P/S. Existem conversores online, mas para melhores resultados, peça a um designer para criar uma versão especificamente otimizada para este caso de uso.
Hospede o arquivo do logo em uma URL HTTPS publicamente acessível. Essa URL vai no seu registro BIMI, portanto precisa ser estável e confiável. Não o hospede em um servidor que possa ficar indisponível ou em uma URL que possa mudar.
Se você está mirando o Gmail, vai precisar de um Verified Mark Certificate. Isso exige ter uma marca registrada para seu logo e passar por um processo de verificação com uma certificate authority como a DigiCert ou a Entrust. O certificado não é barato (tipicamente $1,000+ por ano), mas é necessário para exibição no Gmail.
Por fim, publique seu registro DNS BIMI. É um registro TXT em default._bimi.yourdomain.com contendo a URL do seu logo e, se você tiver, a URL do seu VMC. O formato é: v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem
Depois de publicar, teste enviando emails para contas do Gmail e Yahoo. Pode levar alguns dias para o logo começar a aparecer — há cache envolvido. Se ele não estiver aparecendo após uma semana, verifique seu alinhamento DMARC e confirme que o arquivo do logo atende aos requisitos de formato.
O futuro do BIMI
O BIMI ainda está evoluindo. O padrão é relativamente novo, e a adoção está crescendo, mas não é universal. Como deve ser o futuro?
Mais clientes de email provavelmente adicionarão suporte. O piloto da Microsoft sugere que o suporte no Outlook está chegando. À medida que o BIMI se torna o mínimo esperado para grandes marcas, provedores de email menores enfrentarão pressão para implementá-lo também.
O requisito de VMC pode se tornar mais difundido ou pode ser flexibilizado. Atualmente, apenas o Gmail o exige, mas outros provedores podem seguir. Alternativamente, conforme o ecossistema amadurece, podem surgir opções de verificação de menor custo.
Também há discussão sobre estender o BIMI além de logos estáticos — potencialmente para nomes de remetente verificados ou outros indicadores de confiança. A infraestrutura subjacente (aplicação do DMARC mais afirmações baseadas em DNS) poderia suportar vários sinais de confiança.
Por enquanto, o BIMI é um diferencial, não um requisito, para a maioria das organizações. Mas, se você já alcançou a aplicação do DMARC, adicionar o BIMI é um esforço relativamente baixo para um benefício de marca significativo. E se você ainda não alcançou a aplicação do DMARC, o BIMI é mais um motivo para priorizar esse projeto.
Frequently asked questions
O BIMI funciona em todos os clientes de email?
Não. Gmail e Yahoo Mail suportam BIMI. Apple Mail tem suporte parcial. Microsoft Outlook está em piloto. Muitos clientes de email menores ainda não suportam. Verifique o suporte atual antes de investir pesado.
Eu preciso de um Verified Mark Certificate?
Para o Gmail, sim. Para o Yahoo e a maioria dos outros clientes compatíveis, não — eles exibem seu logo sem VMC. Se o Gmail representa uma parcela significativa dos seus destinatários, vale considerar o VMC.
Posso usar qualquer logo?
O logo deve estar no formato SVG Tiny P/S, ser quadrado e ser reconhecível em tamanhos pequenos. Se você estiver obtendo um VMC, ele deve corresponder a uma marca registrada. Você não pode simplesmente usar qualquer imagem.
Quanto tempo o BIMI leva para começar a funcionar?
Após publicar seu registro DNS, pode levar vários dias para os logos aparecerem devido ao cache de DNS e ao cache do cliente de email. Se não estiver funcionando após uma semana, solucione problemas do seu alinhamento DMARC e do formato do logo.