Votre email arrive dans la boîte d’un prospect. Il voit votre nom d’expéditeur, votre objet — et à côté, un avatar générique avec les initiales de votre domaine. Pendant ce temps, les emails de vos concurrents qui ont configuré BIMI affichent leur logo en couleurs, immédiatement reconnaissable.

Ce n’est pas un détail cosmétique. Dans une boîte de réception chargée, la reconnaissance visuelle fait partie de la décision d’ouverture. Et au-delà du taux d’ouverture, le logo affiché par BIMI porte un message implicite : cette entreprise a une infrastructure email sérieuse, un DMARC actif, et dans la plupart des cas, une marque déposée vérifiée par un tiers.

Ce guide couvre la configuration complète : prérequis, format du logo, certificat VMC, record DNS et compatibilité par fournisseur.

Avant de commencer, vérifiez l’état de votre configuration email. Notre outil analyse SPF, DKIM, DMARC et BIMI en quelques secondes et vous indique si les prérequis sont réunis.

Ce qu’est BIMI et pourquoi ça compte pour votre marque

BIMI (Brand Indicators for Message Identification) est un standard ouvert qui permet aux propriétaires de domaine d’associer leur logo à leurs emails sortants. Quand un email arrive dans un client de messagerie compatible, le logo de l’expéditeur s’affiche à côté du nom — à la place de l’habituel avatar aux initiales.

Le mécanisme repose sur deux éléments :

Un record DNS de type TXT publié sous votre domaine, qui pointe vers l’URL de votre logo SVG et, optionnellement, vers un certificat d’authentification de marque.
Une infrastructure d’authentification email solide : DMARC en politique active est un prérequis non négociable.

BIMI a été développé par le groupe de travail AuthIndicators, dont font partie Google, Yahoo, Verizon Media, Proofpoint et d’autres acteurs majeurs de la messagerie. Il n’est pas géré par un seul fournisseur — c’est un standard ouvert, ce qui signifie que n’importe quel client de messagerie peut l’implémenter.

Ce que BIMI apporte concrètement

Du côté de vos destinataires, le logo crée une reconnaissance immédiate. Vos emails deviennent identifiables d’un coup d’œil, sans même lire l’objet. Pour les entreprises dont la marque est connue de leurs clients — fournisseurs, partenaires, base abonnés — c’est un signal de confiance visuel qui s’affiche à chaque envoi.

Du côté de la sécurité, BIMI renforce indirectement la protection contre le spoofing. Pour afficher un logo vérifié (avec VMC), l’expéditeur doit démontrer qu’il contrôle le domaine, qu’il a une politique DMARC active, et que sa marque est légalement déposée. Un attaquant qui tente d’usurper votre identité ne peut pas reproduire ce logo certifié — ses emails apparaissent sans logo ou avec l’avatar par défaut, un signal d’alerte pour les destinataires avertis.

Il ne faut pas confondre BIMI avec une protection technique supplémentaire comme SPF ou DKIM. BIMI ne bloque rien. C’est une couche de confiance visuelle qui repose sur la solidité des protocoles d’authentification sous-jacents.

Prérequis : DMARC en quarantine ou reject

C’est la condition sine qua non. Sans politique DMARC active, aucun client de messagerie n’affichera votre logo BIMI, quelle que soit la qualité de votre SVG ou la validité de votre certificat.

La spécification BIMI exige que le domaine publie un enregistrement DMARC avec une politique p=quarantine ou p=reject. La politique p=none, qui ne bloque rien, ne suffit pas.

Pourquoi cette exigence existe

BIMI est conçu pour fonctionner comme un signal de confiance. Afficher un logo certifié sur des emails provenant d’un domaine sans protection contre l’usurpation reviendrait à décerner un label de sécurité à une porte sans verrou. La politique DMARC active garantit que le domaine est protégé : seuls les expéditeurs autorisés (ceux qui passent SPF et DKIM alignés) peuvent envoyer des emails au nom de ce domaine.

Vérifier votre DMARC actuel

Avant d’aller plus loin, confirmez votre configuration :

_dmarc.votredomaine.fr  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.fr"

Si votre politique est encore en p=none, vous devez d’abord compléter la migration. Consultez notre guide migration DMARC vers reject pour un plan étape par étape. Si vous partez de zéro, commencez par le guide configurer SPF, DKIM et DMARC.

Récapitulatif des prérequis :

Prérequis	Requis pour	Vérification
DMARC p=quarantine ou p=reject	Tous les clients BIMI	Record DNS `_dmarc`
SPF configuré et aligné	DMARC pass	Record TXT à la racine
DKIM activé sur tous les services d’envoi	DMARC pass (recommandé)	Sélecteur `_domainkey`
Marque déposée	VMC uniquement	INPI, EUIPO ou USPTO

Créer le logo SVG au format Tiny PS

Le format accepté par BIMI n’est pas un SVG standard exporté depuis Illustrator ou Inkscape. C’est un profil spécifique appelé SVG Tiny 1.2 Portable/Secure (abrégé Tiny PS), défini par la spécification BIMI pour des raisons de sécurité et de compatibilité d’affichage.

Ce que Tiny PS impose

Version SVG. Le fichier doit déclarer la version SVG 1.2 Tiny dans l’élément racine :

<svg version="1.2" baseProfile="tiny-ps"
     xmlns="http://www.w3.org/2000/svg"
     viewBox="0 0 100 100">

Fond carré. Le viewBox doit être carré (ratio 1:1). Les clients de messagerie affichent le logo dans un conteneur circulaire ou carré selon leur interface. Un logo rectangulaire sera rogné ou déformé.

Pas de contenu externe. Le fichier SVG ne peut pas charger d’images, de polices ou de ressources externes par référence URL. Tout doit être intégré dans le fichier. Les polices doivent être converties en chemins vectoriels (<path>).

Pas de scripts. Aucun élément <script>, aucun gestionnaire d’événement JavaScript. Le profil Tiny PS est conçu pour être rendu de manière sûre dans un contexte email.

Pas d’animations. Les animations CSS et SMIL ne sont pas autorisées.

Fond opaque recommandé. Bien que non obligatoire dans la spécification, un fond coloré opaque est fortement conseillé. Sur fond transparent, votre logo peut être illisible selon le thème (mode sombre) du client de messagerie.

Obtenir un SVG conforme

La majorité des fichiers SVG exportés directement depuis un logiciel de design ne respectent pas le profil Tiny PS. Plusieurs approches existent pour obtenir un fichier conforme :

Option 1 : Conversion automatique. Des outils en ligne comme le convertisseur SVG de BIMI Group (bimigroup.org/svg-conversion-tool) ou Inkscape avec le profil d’export approprié peuvent produire un Tiny PS valide à partir d’un SVG standard. Vérifiez toujours le résultat avec un validateur.

Option 2 : Prestataire spécialisé. Votre agence de design peut produire un SVG Tiny PS si vous lui fournissez les contraintes. Transmettez-lui la spécification officielle disponible sur bimigroup.org.

Option 3 : Édition manuelle. Pour les logos simples (formes géométriques, texte converti en chemins), un SVG Tiny PS peut être créé ou ajusté à la main dans un éditeur de texte. Vérifiez la déclaration de version, supprimez les éléments non conformes, convertissez les polices en <path>.

Héberger le fichier

Une fois votre SVG validé, hébergez-le sur une URL HTTPS publique sous votre domaine :

https://votredomaine.fr/bimi/logo.svg

Quelques règles :

HTTPS obligatoire. HTTP n’est pas accepté.
Pas de redirection. L’URL doit répondre directement avec le fichier, sans redirect 301 ou 302.
Content-Type correct. Le serveur doit renvoyer Content-Type: image/svg+xml.
URL pérenne. Ne changez pas l’URL après publication du record DNS — ou mettez à jour le record en même temps que l’URL.

Certificat VMC : ce que c’est, qui l’émet, ce que ça coûte

Le VMC (Verified Mark Certificate) est un certificat numérique émis par une autorité de certification qui atteste que vous êtes propriétaire légitime de la marque représentée par le logo. Il joue le même rôle qu’un certificat SSL pour un site web, mais pour l’identité visuelle d’un expéditeur email.

Sans VMC, votre logo BIMI peut s’afficher sur certains clients (Yahoo Mail, Apple Mail en mode auto-assertion), mais Gmail n’affichera pas votre logo sans VMC valide. Pour toute entreprise dont les clients utilisent Gmail — ce qui représente la majorité des boîtes professionnelles françaises — le VMC est de fait incontournable.

Ce que le VMC vérifie

L’autorité de certification qui émet le VMC effectue plusieurs vérifications :

Contrôle du domaine. Vous êtes bien le propriétaire du domaine pour lequel le certificat est émis.
Vérification de la marque déposée. Votre logo correspond à une marque enregistrée dans une juridiction reconnue : France (INPI), Union européenne (EUIPO), États-Unis (USPTO), Royaume-Uni (IPO), ou d’autres registres acceptés par la spécification BIMI. La demande doit être en statut « enregistrée » — les dépôts en cours d’examen ne sont pas acceptés.
Correspondance logo / marque. Le logo SVG soumis avec la demande doit correspondre à la représentation graphique déposée à l’INPI ou à l’EUIPO.

Les émetteurs de VMC

Deux autorités de certification sont actuellement accréditées pour émettre des certificats VMC :

DigiCert (digicert.com) — pionnier du VMC, premier à avoir déployé ce type de certificat. Interface de commande directe, documentation en anglais, support technique disponible.

Entrust (entrust.com) — second émetteur accrédité, tarifs et processus comparables à DigiCert.

D’autres autorités de certification travaillent à l’obtention de l’accréditation. La liste à jour est publiée sur le site du BIMI Group (bimigroup.org).

Coût et durée

Le prix d’un VMC se situe entre 1 000 et 1 500 euros par an selon l’émetteur et les éventuelles remises pour engagement pluriannuel. Ce tarif couvre :

La vérification de votre droit à la marque
L’émission du certificat
Le renouvellement annuel

À ce coût, ajoutez le maintien de votre marque déposée. En France, le maintien d’une marque INPI représente environ 300 euros tous les 10 ans (taxe de renouvellement). À l’EUIPO, le coût de base d’un enregistrement est de 850 euros pour 10 ans.

Ce qu’on vous demandera pour le dossier VMC

Lors de la commande d’un VMC, préparez :

Le numéro d’enregistrement de votre marque (INPI, EUIPO, ou autre)
Le fichier SVG Tiny PS validé du logo
La preuve du contrôle du domaine (généralement par validation DNS ou fichier HTTPS)
Les coordonnées de l’organisation

Le délai de délivrance est généralement de 5 à 10 jours ouvrés une fois le dossier complet, sous réserve que la marque soit bien enregistrée (pas en cours d’examen).

Configurer le record DNS BIMI

Une fois votre SVG hébergé (et votre VMC obtenu si applicable), la publication du record DNS est l’étape finale.

La syntaxe du record

Le record BIMI est un enregistrement TXT publié sous _default._bimi.votredomaine.fr.

Sans VMC (mode auto-assertion) :

_default._bimi.votredomaine.fr  TXT  "v=BIMI1; l=https://votredomaine.fr/bimi/logo.svg;"

Avec VMC :

_default._bimi.votredomaine.fr  TXT  "v=BIMI1; l=https://votredomaine.fr/bimi/logo.svg; a=https://votredomaine.fr/bimi/vmc.pem;"

Signification des tags :

Tag	Description
`v=BIMI1`	Version du protocole — obligatoire, toujours `BIMI1`
`l=`	URL HTTPS du fichier SVG Tiny PS
`a=`	URL HTTPS du fichier VMC au format PEM (optionnel sans VMC)

Le fichier PEM du VMC est fourni par votre autorité de certification (DigiCert ou Entrust) lors de la délivrance du certificat. Hébergez-le sur une URL HTTPS pérenne, comme le SVG.

Publier dans votre DNS

La procédure est identique à celle d’un enregistrement SPF ou DMARC.

OVH :

Manager OVH → Noms de domaine → votredomaine.fr → Zone DNS
Ajouter une entrée → Type TXT
Sous-domaine : _default._bimi
TTL : 3600
Valeur : votre record BIMI complet entre guillemets
Validez

Cloudflare :

Dashboard → DNS → Records → Add Record
Type TXT → Name : _default._bimi → Content : valeur du record
Save (désactivez le proxy, le record DNS doit être de type DNS-only)

Vérification après publication :

La propagation DNS prend généralement quelques minutes à quelques heures. Vous pouvez vérifier avec un outil de diagnostic DNS :

dig TXT _default._bimi.votredomaine.fr

Ou utilisez notre outil de test sécurité email qui vérifie BIMI parmi les autres protocoles d’authentification.

Compatibilité par fournisseur de messagerie

Tous les clients de messagerie ne supportent pas BIMI. Voici l’état du support en 2026.

Gmail (Google Workspace et comptes @gmail.com)

Support : Oui, avec VMC obligatoire.

Gmail affiche le logo BIMI dans l’interface web (web et mobile) à côté du nom de l’expéditeur. Le logo apparaît également dans l’aperçu de la liste des emails. Un VMC valide est impératif. Sans VMC, Gmail n’affiche pas le logo — même si le record BIMI est publié et le SVG valide.

Gmail représente la cible principale pour la plupart des entreprises françaises : la majorité des boîtes professionnelles utilisent Google Workspace, et les contacts personnels utilisent @gmail.com.

Apple Mail (iOS, macOS, iCloud Mail)

Support : Oui, depuis iOS 16 et macOS Ventura (2022).

Apple Mail implémente BIMI avec une tolérance pour les logos en mode auto-assertion (sans VMC) dans certains contextes. Le comportement exact varie selon la version et le client (iOS Mail, macOS Mail, iCloud.com). Pour une prise en charge complète et cohérente, un VMC reste recommandé.

Yahoo Mail et AOL Mail

Support : Oui, parmi les premiers à avoir implémenté BIMI.

Yahoo Mail supporte BIMI y compris en mode auto-assertion (sans VMC). C’est l’un des rares clients où un record BIMI sans certificat produit un affichage du logo. La couverture est significative pour les destinataires en France qui utilisent des adresses @yahoo.fr ou @aol.com.

Fastmail

Support : Oui, mode auto-assertion accepté.

Fastmail affiche les logos BIMI sans exiger de VMC. Audience plus restreinte que Gmail ou Yahoo, mais pertinente pour les entreprises dont les clients sont dans les secteurs tech ou indépendants.

Outlook (Microsoft 365, Outlook.com)

Support : Limité.

Microsoft n’a pas adopté le standard BIMI ouvert de la même manière que Google ou Yahoo. Outlook.com a annoncé une prise en charge partielle, mais l’affichage n’est pas uniforme. Les clients Outlook pour Windows et Mac (versions bureau) n’affichent pas les logos BIMI nativement.

Microsoft propose un mécanisme distinct pour les organisations Microsoft 365 : le logo d’expéditeur est géré via les paramètres d’organisation et ne repose pas sur le record DNS BIMI. Si votre base client est majoritairement sur Outlook, investir dans le VMC BIMI apportera moins de valeur visible dans un premier temps.

Récapitulatif :

Client	Support BIMI	VMC requis
Gmail (web + mobile)	Oui	Oui
Apple Mail (iOS 16+, macOS Ventura+)	Oui	Recommandé
Yahoo Mail	Oui	Non
AOL Mail	Oui	Non
Fastmail	Oui	Non
Outlook.com	Partiel	N/A
Outlook bureau (Windows/Mac)	Non	N/A

BIMI sans VMC : le mode auto-assertion

Si votre marque n’est pas encore déposée, ou si vous souhaitez tester BIMI avant d’investir dans un VMC, le mode auto-assertion permet de déployer BIMI avec uniquement le record DNS et le logo SVG — sans certificat.

Ce que l’auto-assertion couvre

En mode auto-assertion, vous publiez un record BIMI sans le tag a= :

_default._bimi.votredomaine.fr  TXT  "v=BIMI1; l=https://votredomaine.fr/bimi/logo.svg;"

Les clients qui affichent les logos en auto-assertion : Yahoo Mail, AOL Mail, Fastmail, et dans certains contextes Apple Mail. Gmail, en revanche, ignore les records BIMI sans VMC valide.

Intérêt de déployer en auto-assertion

Même sans couvrir Gmail, l’auto-assertion présente des avantages pratiques :

Validation de bout en bout : vous testez le record DNS, la conformité du SVG, l’hébergement HTTPS et la chaîne complète avant d’engager des frais VMC.
Couverture partielle immédiate : Yahoo et Apple Mail représentent une partie non négligeable des boîtes de réception de vos contacts.
Migration progressive : quand votre marque est déposée et votre VMC obtenu, vous ajoutez simplement le tag a= au record existant. Aucun autre changement n’est nécessaire.

Limites de l’auto-assertion

Sans VMC, l’affichage du logo n’est pas certifié. N’importe quel expéditeur qui contrôle un domaine avec DMARC actif peut publier n’importe quel logo en auto-assertion. Les clients compatibles affichent le logo sans garantie que ce logo appartient à la marque concernée. C’est précisément pourquoi Gmail a choisi de ne prendre en charge que les logos certifiés par VMC.

Pour une entreprise soucieuse de la valeur de confiance associée à son logo, le VMC apporte une garantie que l’auto-assertion ne peut pas offrir.

FAQ

Retrouvez les réponses aux questions les plus fréquentes sur la configuration BIMI ci-dessous.

Thomas Ferreira est CISSP certifié et accompagne des équipes techniques dans la sécurisation de leur infrastructure email depuis 2015. Les recommandations de ce guide s’appuient sur la spécification BIMI officielle, les recommandations de l’ANSSI et la documentation de Google, Yahoo et Apple.

Pour aller plus loin : glossaire BIMI · glossaire DMARC · test sécurité email