BIMI (Brand Indicators for Message Identification)

Comment fonctionne BIMI

Le BIMI ajoute une couche de confiance visuelle par-dessus l’authentification email existante. Quand un destinataire ouvre sa boîte de réception dans Gmail ou Apple Mail, il voit votre logo officiel à côté de votre email, au lieu de l’initiale générique ou de l’avatar par défaut. C’est un signal immédiat : cet email vient bien de cette entreprise.

Mais BIMI ne fonctionne pas seul. Il s’appuie sur toute la chaîne d’authentification email déjà en place.

La chaîne complète : de SPF au logo affiché

Voici ce qui se passe quand un email arrive dans la boîte de réception d’un destinataire dont le client supporte BIMI :

1. Authentification SPF et DKIM : le serveur destinataire vérifie que l’email est bien envoyé depuis un serveur autorisé (SPF) et que son contenu est signé (DKIM).

2. Vérification DMARC : le serveur vérifie que le domaine de l’adresse From est aligné avec les résultats SPF ou DKIM, conformément à la politique DMARC publiée par le domaine expéditeur. La politique doit être au minimum p=quarantine.

3. Requête DNS BIMI : si DMARC passe, le client email interroge le DNS pour trouver l’enregistrement BIMI du domaine expéditeur, à l’adresse default._bimi.domaine.fr.

4. Récupération du logo : l’enregistrement DNS contient l’URL du fichier SVG (le logo) et, optionnellement, l’URL du certificat VMC (le fichier .pem qui atteste que le logo est une marque déposée vérifiée).

5. Affichage : le client email récupère le logo, vérifie le VMC si requis (Gmail l’exige), et affiche le logo à côté du message dans la boîte de réception.

Si une étape échoue, pas de logo. L’email est livré normalement, mais sans l’indicateur visuel BIMI. C’est un système à zéro risque : dans le pire des cas, le destinataire voit l’icône par défaut comme avant.

Ce que ça donne concrètement

Un email BIMI affiché dans Gmail montre votre logo en couleur dans un cercle à gauche du message, à la place de l’initiale du nom de l’expéditeur. Dans Apple Mail, le logo apparaît dans le fil de discussion et dans l’aperçu de la boîte de réception. Le destinataire n’a rien à faire de son côté : le client email gère tout automatiquement.

Les prérequis techniques

BIMI impose quatre conditions techniques. Si une seule manque, l’enregistrement DNS BIMI sera ignoré par les clients email.

1. DMARC en mode strict

Votre domaine doit publier un enregistrement DMARC avec une politique p=quarantine ou p=reject. Le mode p=none (surveillance seule) ne suffit pas. C’est le prérequis le plus bloquant pour la plupart des entreprises, parce qu’il implique que SPF et DKIM soient correctement configurés en amont sur tous les flux d’envoi (transactionnel, marketing, interne).

En pratique, si vous envoyez des emails depuis Google Workspace, un outil marketing comme Brevo ou Mailchimp et un outil de ticketing, chacun de ces services doit être couvert par votre SPF et signer avec votre domaine en DKIM. Si un seul flux n’est pas aligné, passer en p=quarantine risque de mettre en spam des emails légitimes.

2. Logo au format SVG Tiny P/S

Le standard BIMI n’accepte pas n’importe quel SVG. Le logo doit respecter le profil SVG Tiny P/S (Portable/Secure), un sous-ensemble restreint du format SVG défini dans la spécification BIMI du SVG Working Group. Les contraintes principales :

• Format carré (rapport 1:1)
• Pas de scripts, pas d’éléments interactifs, pas de références externes
• Fond non transparent (le logo doit être lisible sur fond blanc et fond sombre)
• Taille recommandée : 32x32 px minimum affiché, mais le fichier SVG est vectoriel

Un fichier SVG exporté depuis Illustrator ou Figma ne sera probablement pas conforme tel quel. Des outils de conversion existent, comme ceux référencés sur bimigroup.org.

3. Certificat VMC (pour Gmail)

Le VMC (Verified Mark Certificate) est un certificat numérique qui prouve que votre logo est une marque déposée vérifiée. Gmail l’exige pour afficher le logo BIMI. Apple Mail ne l’exige pas.

Deux autorités de certification émettent des VMC : DigiCert et Entrust. Pour obtenir un VMC, votre logo doit être enregistré comme marque figurative auprès d’un office de propriété intellectuelle reconnu :

• INPI (France)
• EUIPO (Union européenne)
• USPTO (États-Unis)
• Et d’autres offices listés par le BIMI Group

Le processus de validation prend généralement deux à quatre semaines après la soumission du dossier.

4. Enregistrement DNS TXT

Le dernier élément est l’enregistrement DNS lui-même, qui pointe vers votre logo et votre certificat VMC :

default._bimi.votre-domaine.fr  IN TXT  "v=BIMI1; l=https://votre-domaine.fr/bimi/logo.svg; a=https://votre-domaine.fr/bimi/vmc.pem"

• v=BIMI1 : version du protocole
• l= : URL HTTPS du fichier SVG Tiny P/S
• a= : URL HTTPS du certificat VMC (optionnel si vous ne visez pas Gmail)

Le SVG et le PEM doivent être hébergés sur un serveur stable, accessible en HTTPS, avec un certificat SSL valide. Si l’URL du logo est en panne, le logo disparaît des boîtes de réception.

Configurer BIMI étape par étape

Étape 1 : vérifier votre configuration DMARC

Avant toute chose, vérifiez que votre domaine a un DMARC en mode p=quarantine ou p=reject. Si vous êtes encore en p=none, vous devez d’abord compléter le déploiement DMARC. Comptez quatre à huit semaines de monitoring des rapports DMARC avant de passer en mode strict.

Testez votre configuration SPF, DKIM et DMARC en 30 secondes avec notre test de sécurité email.

Étape 2 : préparer votre logo en SVG Tiny P/S

Partez de votre logo officiel en vectoriel (format AI, EPS ou SVG standard). Convertissez-le au profil SVG Tiny P/S avec les outils listés par le BIMI Group. Vérifiez :

• Le format est carré
• Le logo est centré et lisible à petite taille (il sera affiché à ~32 pixels dans une boîte de réception)
• Le fond n’est pas transparent
• Le fichier ne contient aucun script ni référence externe

Étape 3 : obtenir un certificat VMC (optionnel mais recommandé)

Si votre logo est une marque déposée et que vous voulez le support Gmail :

1. Vérifiez que votre marque figurative est enregistrée auprès d’un office reconnu (INPI, EUIPO, USPTO)
2. Contactez DigiCert ou Entrust pour soumettre votre demande de VMC
3. Fournissez les preuves d’enregistrement de la marque et le logo SVG Tiny P/S
4. Recevez le fichier .pem après validation (deux à quatre semaines)

Étape 4 : héberger le logo et le certificat

Placez les fichiers sur un serveur HTTPS fiable :

• https://votre-domaine.fr/bimi/logo.svg pour le logo
• https://votre-domaine.fr/bimi/vmc.pem pour le certificat VMC

Utilisez des URLs pérennes. Si vous changez d’hébergement ou de chemin, le logo disparaît jusqu’à la mise à jour du DNS.

Étape 5 : ajouter l’enregistrement DNS

Dans votre gestionnaire DNS, créez un enregistrement TXT :

Hôte : default._bimi.votre-domaine.fr
Type : TXT
Valeur : v=BIMI1; l=https://votre-domaine.fr/bimi/logo.svg; a=https://votre-domaine.fr/bimi/vmc.pem

Si vous n’avez pas de VMC, laissez le champ a= vide :

v=BIMI1; l=https://votre-domaine.fr/bimi/logo.svg; a=

Étape 6 : tester votre configuration

Utilisez les outils de validation :

• BIMI Inspector du BIMI Group
• MXToolbox BIMI Lookup

Envoyez un email de test à une adresse Gmail et une adresse Apple Mail pour vérifier l’affichage réel du logo. La propagation DNS peut prendre de quelques minutes à 48 heures.

Support par client email

Tous les clients email ne supportent pas BIMI. Voici l’état du support en 2026 :

Client email	Support BIMI	VMC requis	Depuis
Gmail	Oui	Oui	Juillet 2021
Apple Mail	Oui	Non	iOS 16 / macOS Ventura (2022)
Yahoo Mail	Oui	Non	2018 (early adopter)
Fastmail	Oui	Non	2022
La Poste (Laposte.net)	Oui	Non	2023
Microsoft Outlook	Non	—	Pas de calendrier annoncé

Ce que cela représente en pratique

Gmail et Apple Mail couvrent à eux seuls une part significative des boîtes de réception mondiales. Yahoo Mail, historiquement le premier à supporter BIMI, ajoute un volume non négligeable. Au total, le support BIMI couvre environ 50 % des boîtes de réception dans le monde.

L’absence de Microsoft Outlook est le frein principal. Microsoft n’a pas communiqué de calendrier d’adoption. Si vos destinataires utilisent principalement Outlook (environnement B2B avec Microsoft 365), le bénéfice visuel de BIMI sera limité aux échanges avec des contacts sur Gmail et Apple Mail.

En France, la couverture est meilleure qu’ailleurs grâce au support de La Poste (Laposte.net est le troisième fournisseur de messagerie gratuite en France) et à la forte adoption d’Apple Mail sur iPhone.

Le coût réel du BIMI

BIMI n’est pas gratuit. Voici les postes de dépense à prévoir :

Certificat VMC : 1 000 à 1 500 $ par an

C’est le coût principal. Le VMC est un abonnement annuel, renouvelable chaque année. DigiCert et Entrust proposent des tarifs dans cette fourchette. Sans VMC, votre logo ne s’affiche pas dans Gmail — mais il s’affiche dans Apple Mail, Yahoo Mail et les autres clients compatibles.

Marque déposée : ~250 EUR à l’INPI

Si votre logo n’est pas encore une marque déposée, le dépôt d’une marque figurative à l’INPI coûte environ 250 EUR (une classe, en ligne). La procédure prend quatre à six mois. À l’EUIPO (protection européenne), comptez 850 EUR pour une classe. Ce coût n’est pertinent que si vous visez le support Gmail via VMC.

Préparation du SVG : coût ponctuel

La conversion de votre logo au format SVG Tiny P/S est un travail ponctuel. Si votre graphiste ne connaît pas le format, prévoyez quelques heures de prestation ou utilisez les outils de conversion gratuits.

Stratégie pour les PME

Pour une PME qui n’a pas encore de marque déposée, l’approche la plus raisonnable :

1. Court terme : configurez BIMI sans VMC. Votre logo apparaîtra dans Apple Mail, Yahoo Mail, Fastmail et La Poste. Cela couvre déjà une partie de vos destinataires, pour un coût nul (hors temps de configuration).

2. Moyen terme : déposez votre logo comme marque à l’INPI. C’est un investissement utile au-delà du BIMI (protection de marque, crédibilité commerciale).

3. Long terme : une fois la marque enregistrée, obtenez le VMC pour débloquer Gmail.

Le retour sur investissement se mesure en trois axes : meilleure délivrabilité (les clients email favorisent les expéditeurs authentifiés), reconnaissance de marque accrue, et réduction du risque de phishing par usurpation de votre identité visuelle.

BIMI et la lutte contre le phishing

Ce que BIMI ne fait pas

Soyons clairs : BIMI ne bloque pas les emails frauduleux. Il n’empêche pas un attaquant d’envoyer un email de phishing qui usurpe votre nom de domaine. Ce filtrage, c’est le travail de DMARC, qui rejette ou met en spam les emails non authentifiés.

BIMI ne remplace pas DMARC. Il le complète.

Ce que BIMI apporte réellement

BIMI agit sur la perception du destinataire. Quand vos contacts s’habituent à voir votre logo officiel à côté de chaque email que vous envoyez, l’absence de logo devient un signal d’alerte.

Un email qui prétend venir de votre entreprise mais qui n’affiche pas votre logo dans Gmail ou Apple Mail paraît immédiatement suspect. Le destinataire ne se dit peut-être pas “cet email a échoué la vérification BIMI”, mais il remarque que quelque chose manque — et ce doute suffit à déclencher la prudence.

C’est le même principe que le cadenas HTTPS dans les navigateurs web. Le cadenas ne garantit pas que le site est légitime, mais son absence alerte l’utilisateur.

BIMI et sensibilisation des collaborateurs

Dans un programme de sensibilisation au phishing, BIMI donne un repère concret aux collaborateurs. Au lieu d’un conseil abstrait (“vérifiez l’adresse de l’expéditeur”), vous pouvez leur dire : “les emails de nos partenaires bancaires affichent toujours leur logo. Si le logo est absent, ne cliquez pas et signalez l’email.”

Ce type de règle simple et visuelle est bien plus facile à retenir et à appliquer que l’analyse des en-têtes email ou la vérification manuelle des enregistrements DNS.

Les campagnes de simulation de phishing deviennent aussi plus réalistes : elles permettent de tester si les collaborateurs remarquent l’absence du logo BIMI sur un email frauduleux imitant un expéditeur connu.

BIMI force DMARC — et c’est le vrai bénéfice

L’effet le plus concret de BIMI sur la sécurité email n’est pas le logo lui-même. C’est le fait que BIMI oblige votre organisation à déployer DMARC en mode strict. Beaucoup d’entreprises restent en p=none pendant des mois, voire des années, faute de motivation pour terminer le déploiement.

BIMI donne une raison business concrète de finaliser la migration vers p=quarantine ou p=reject. Et une fois DMARC en mode strict, votre domaine est protégé contre le spoofing par exact domain — que BIMI soit activé ou non.

Comment nophi.sh vérifie votre configuration email

Avant de configurer BIMI, vous devez vous assurer que les fondations sont en place. Notre test de sécurité email analyse en quelques secondes les enregistrements DNS de votre domaine :

• SPF : votre enregistrement existe-t-il ? Couvre-t-il tous vos serveurs d’envoi ?
• DKIM : vos emails sortants sont-ils signés ?
• DMARC : quelle est votre politique actuelle ? Êtes-vous en p=none, p=quarantine ou p=reject ?

Si votre DMARC n’est pas encore en mode strict, le rapport vous indique les étapes pour y parvenir. Une fois SPF, DKIM et DMARC correctement configurés, vous êtes prêt à ajouter BIMI.

Tester la sécurité email de mon domaine