BIMI uitgelegd: zo krijg je je merklogo in de inbox van Gmail, Yahoo en Apple Mail
BIMI uitgelegd: zo krijg je je merklogo in de inbox van Gmail, Yahoo en Apple Mail
Wie zijn e-maildomein al beveiligd heeft met SPF, DKIM en DMARC, kan de volgende stap zetten: het zichtbaar maken van die beveiliging in de inbox van de ontvanger. BIMI (Brand Indicators for Message Identification) is de standaard die jouw merklogo automatisch toont naast elke geauthenticeerde e-mail. In deze gids lees je hoe BIMI technisch werkt, welke certificaten je nodig hebt en wat er in 2025 en 2026 is veranderd.
Wat is BIMI in het kort?
BIMI is een open standaard, oorspronkelijk gepubliceerd in 2021, die mailproviders in staat stelt het logo van een afzender te tonen op basis van een DNS-record. Het werkt alleen voor domeinen die:
- Een geldige SPF- en DKIM-configuratie hebben.
- Een actief DMARC-beleid hanteren met
p=quarantineofp=reject(p=noneis niet voldoende). - Een correct opgemaakt logo in SVG Tiny Portable/Secure (SVG P/S) op een publieke URL hebben staan.
- Optioneel een Verified Mark Certificate (VMC) of Common Mark Certificate (CMC) overleggen.
Pas als al deze voorwaarden in orde zijn, kunnen mailclients zoals Gmail, Yahoo Mail en Apple Mail (vanaf iOS 16) je logo tonen.
Waarom zou je BIMI implementeren?
De zakelijke argumenten zijn drieledig:
- Herkenbaarheid in de inbox. Onderzoek laat zien dat e-mails met een zichtbaar merklogo significant vaker geopend worden, omdat ontvangers het bericht direct kunnen plaatsen.
- Bescherming tegen phishing en spoofing. Een logo verschijnt alleen wanneer de hele authenticatieketen klopt. Phishers die jouw domein proberen na te bootsen, krijgen geen logo te zien.
- Zichtbaar bewijs van een volwassen e-mailbeveiliging. BIMI dwingt je organisatie tot DMARC-handhaving, wat indirect de leverbaarheid verbetert.
Hoe werkt BIMI technisch?
BIMI gebruikt drie bouwstenen die samen één keten vormen.
Stap 1: DMARC met handhaving
De ontvangende mailserver controleert eerst of de e-mail SPF en DKIM doorstaat en of het DMARC-beleid op quarantine of reject staat. Zonder handhaving wordt het BIMI-record genegeerd.
Stap 2: BIMI DNS-record
Op default._bimi.voorbeeld.nl publiceer je een TXT-record dat verwijst naar het logo en (optioneel) het certificaat:
default._bimi.voorbeeld.nl. IN TXT "v=BIMI1; l=https://voorbeeld.nl/bimi/logo.svg; a=https://voorbeeld.nl/bimi/vmc.pem"
De tags die je tegenkomt:
v=BIMI1is verplicht en geeft de versie aan.l=(location) wijst naar de URL van het logo. Het bestand moet via HTTPS bereikbaar zijn.a=(authority) wijst naar het certificaatbestand (.pem). Verplicht voor Gmail-tier-1, optioneel voor sommige andere clients.
Stap 3: Logo en certificaat
Het logo moet een SVG Tiny Portable/Secure zijn: een sterk afgeslankte SVG-variant zonder scripts, externe verwijzingen of metadata. Vierkant ontwerp, gecentreerd binnen het canvas. Daarnaast heb je een certificaat nodig dat aantoont dat je gerechtigd bent het logo te gebruiken. Daar zijn sinds 2025 twee smaken van.
VMC of CMC: welk certificaat heb je nodig?
| Verified Mark Certificate (VMC) | Common Mark Certificate (CMC) | |
|---|---|---|
| Vereist geregistreerd merk | Ja, geregistreerd handelsmerk vereist | Nee, logo moet wel minimaal één jaar publiek in gebruik zijn |
| Beschikbare uitgevers | DigiCert en Entrust | DigiCert (en enkele nieuwe CA's) |
| Gmail blauwe vinkje | Ja | Nee (logo wel zichtbaar, geen verified-badge) |
| Apple Mail ondersteuning | Ja | Nog niet (per 2026) |
| Indicatieve kosten per jaar | Vaak 1.000 tot 1.500 euro | Vaak 500 tot 800 euro |
De CMC is begin 2025 door Google geïntroduceerd als alternatief voor organisaties zonder geregistreerd merk. Voor maximale zichtbaarheid (Gmail-vinkje, Apple Mail) blijft een VMC de norm.
Welke clients tonen BIMI-logo's in 2026?
| Mailclient | BIMI-ondersteuning | Bijzonderheden |
|---|---|---|
| Gmail (web en mobiel) | Ja | VMC geeft blauw vinkje, CMC sinds 2025 als alternatief |
| Yahoo Mail | Ja | Een van de eerste BIMI-implementaties |
| Apple Mail (iOS 16+, macOS Ventura+) | Ja | VMC vereist, CMC nog niet geaccepteerd |
| Fastmail | Ja | Volledige BIMI-ondersteuning |
| La Poste, Onet en regionale providers | Ja | Vooral in Europa |
| Microsoft Outlook (Outlook.com, M365) | Nog niet officieel | Microsoft testte BIMI in pilot, geen brede uitrol per begin 2026 |
BIMI implementeren in 7 stappen
- Controleer je DMARC-beleid. Het moet op
p=quarantineofp=rejectstaan. Zo niet, doorloop eerst het SPF/DKIM/DMARC-stappenplan. - Bereid je logo voor. Vierkant, gecentreerd, één hoofdkleur op transparante of effen achtergrond. Levert je ontwerper een gewone SVG aan, gebruik dan een SVG P/S-converter om hem geschikt te maken.
- Host het logo op je eigen domein via HTTPS, met de juiste
Content-Type: image/svg+xml. Zet caching op minimaal één dag. - Vraag een certificaat aan bij DigiCert of Entrust. VMC vereist een Trademark-bewijs (bijvoorbeeld een geldig EUIPO- of BOIP-merk).
- Plaats het PEM-bestand op een publieke HTTPS-URL.
- Publiceer het BIMI DNS-record op
default._bimi.jouwdomein.nl. - Test je opstelling met BIMI-validators (BIMI Group, MxToolbox, of de DNSWatcher BIMI-check) en stuur jezelf een testmail naar Gmail en Yahoo.
Veelgemaakte fouten
- DMARC nog op
p=none. Geen handhaving betekent geen logo, ook niet met een geldig VMC. - Niet-conforme SVG. Een gewone SVG met scripts, gradients of externe verwijzingen wordt geweigerd. Gebruik altijd SVG Tiny P/S.
- Logo niet vierkant. Niet-vierkante logo's worden bijgesneden, vaak op een ongelukkige manier.
- Certificaat verlopen of niet bereikbaar. Stel een monitor in op de PEM-URL, want een 404 verbreekt direct de BIMI-keten.
- Selector ontbreekt. Zonder expliciete selector kijken mailclients standaard naar
default._bimi.jouwdomein.nl. Test altijd met de selector die ook door je verzender wordt geadverteerd.
Veelgestelde vragen
Heb ik per se een VMC nodig?
Niet altijd. Voor pure zichtbaarheid van je logo in Gmail volstaat sinds 2025 ook een CMC. Wil je het blauwe vinkje of Apple Mail-ondersteuning, dan blijft een VMC noodzakelijk.
Waarom moet DMARC op quarantine of reject staan?
BIMI is bedoeld om alleen geverifieerde afzenders zichtbaar te belonen. Met p=none kan een spoofer nog steeds e-mail versturen die door SPF of DKIM faalt en alsnog wordt afgeleverd. Een logo bij zo'n bericht zou de gebruiker juist op het verkeerde been zetten.
Hoeveel kost BIMI?
Het BIMI DNS-record en het logo hosten kosten niets. Het certificaat is de grootste post: een VMC kost doorgaans tussen de 1.000 en 1.500 euro per jaar, een CMC tussen de 500 en 800 euro. Verwacht daarnaast designkosten als je logo herwerkt moet worden naar SVG P/S.
Werkt BIMI ook in Outlook?
Microsoft heeft BIMI in een beperkte pilot ondersteund, maar er is per begin 2026 nog geen brede uitrol in Outlook.com of Microsoft 365. Volg de aankondigingen op het Microsoft-tech-community-blog voor de laatste status.
Hoe controleer ik of mijn BIMI-record correct is?
Gebruik de BIMI-checker van BIMI Group of een DNS-monitoringtool zoals DNSWatcher. Een correct record retourneert HTTP 200 op zowel het logo als het certificaat en passeert de SVG- en certificaatvalidatie.
Conclusie
BIMI is geen apart beveiligingsmechanisme, maar het zichtbare gevolg van een goed ingerichte SPF-, DKIM- en DMARC-keten. Door een geverifieerd logo te koppelen aan je domein vergroot je herkenbaarheid, weerbaarheid tegen phishing en leverbaarheid in één keer. De keuze tussen VMC en CMC bepaalt vooral hoe ver je merkpresentatie reikt: voor Gmail's blauwe vinkje en Apple Mail blijft een VMC noodzakelijk, voor pure logoweergave in Gmail volstaat een CMC. Of je nu een grootschalige verzender bent of een ambitieuze webshop, BIMI is in 2026 een van de zichtbaarste manieren om e-mailvertrouwen te verdienen.
