Comment afficher votre logo comme BIMI chez Gmail ?

L’année 2024 commence très fort ! Entre les missions de conseils et les audits, les annonces de Google et Yahoo, je ne peux pas dire que je m’ennuie en ce début d’année… Je profite d’un petit break pour vous parler de ma dernière publication sur mon analyse d’un email de Babbel. Marine m’avait interpellé sur un point que j’avais trouvé sympathique et qui concernait l’affichage du logo – comme le fait si bien BIMI – d’une marque dans l’inbox de Gmail.

Je vous propose de réaliser la même configuration que Babbel et donc d’afficher votre logo dans la boite de réception de vos utilisateurs Gmail en paramétrant BIMI (Brand Indicators for Message Identification) mais sans acheter de certificat de marque VMC (Verified Mark Certificate) !
Ami(e)s Marketeuse(s)/eur(s), cet article est pour vous 🙂

Publier un enregistrement DMARC restrictif

Avant de rentrer dans le vif du sujet, il faut d’abord préparer son domaine expéditeur à être conforme à BIMI… Ce n’est pas moi qui le dit mais le 4ème draft de BIMI !

To participate in BIMI, Domain Owners MUST have a strong [DMARC] policy (quarantine or reject) on both the Organizational Domain, and the RFC5322.From Domain of the message. Quarantine policies MUST NOT have a pct less than pct=100.

Votre premier objectif est d’avoir un enregistrement DMARC sur votre domaine expéditeur (ou sur votre domaine organisationnel si vous avez opté pour un sous-domaine en expéditeur) avec une politique de sécurité restrictive : Soit QUARANTINE, soit REJECT.
Point important à retenir : Si vous optez pour QUARANTINE, le filtrage doit être à 100% : soit avoir dans son enregistrement le tag pct=100;, soit ne pas avoir le tag pct (la valeur par défaut étant pct=100;).

Pour reprendre l’exemple de Babbel, ils ont opté pour la publication d’un enregistrement DMARC sur le sous-domaine utilisé en tant qu’expéditeur avec une politique REJECT :
v=DMARC1; p=reject; rua=mailto:rua@dmarc-reports.babbel.com; ruf=mailto:ruf@dmarc-reports.babbel.com; adkim=s; aspf=r; rf=afrf; pct=100;

P.S : N’oubliez pas avant de publier votre enregistrement DMARC, que votre domaine MailFrom (return-path) doit avoir un enregistrement SPF valide et aligné avec le domaine expéditeur ou que votre domaine From (expéditeur) doit avoir un enregistrement DKIM valide et aligné (ou signé) avec le domaine expéditeur. Si SPF et DKIM sont en échec, la politique de sécurité DMARC s’appliquera… Si vous souhaitez en apprendre davantage sur l’alignement des domaines, n’hésitez pas à consulter notre article dédié à ce sujet !

Authentifier son domaine expéditeur avec BIMI

Préparer son logo pour BIMI et Gmail

La première étape a réalisé est d’avoir un logo conforme aux exigences demandées par BIMI. Un seul format est reconnu, il s’agit du format SVG (Scalable Vector Graphic).

Dans le cadre de notre exemple, il faudra donc avoir un logo conforme à BIMI mais pour l’affichage en tant que photo de profil dans Gmail, un format JPG ou PNG suffira.

Je vous invite à suivre l’excellent tutoriel de Digicert pour la création du logo au format SVG ! Nous l’avons utilisé pour créer le nôtre et nous l’approuvons 🙂

Une fois votre logo créé, il faudra l’importer sur le serveur Web de votre domaine.

Publier un enregistrement BIMI sur son domaine

La seconde étape va être de publier votre enregistrement BIMI sur votre domaine expéditeur. Toutefois, il y aura des contraintes à respecter…

• BIMI doit être publié dans un enregistrement de type TXT ;
• BIMI doit être associé à un sélecteur (comme DKIM), celui utilisé est default ;
• L’enregistrement BIMI doit contenir les tags suivants : v pour la version de BIMI, l pour l’url du logo, a pour l’url du certificat de marque (optionnel) ;
• BIMI fonctionne par héritage, si vous le déployez sur votre domaine organisationnel, tous les sous-domaines hériteront du même enregistrement.

Quelques exemples de déclaration BIMI

– L’enregistrement BIMI de Babbel :

v=BIMI1; l=https://link.members.babbel.com/custloads/758336025/md_36162.svg
- - -
nslookup -q=txt default._bimi.members.babbel.com
default._bimi.members.babbel.com text = "v=BIMI1; l=https://link.members.babbel.com/custloads/758336025/md_36162.svg"

– L’enregistrement BIMI de Badsender :

v=BIMI1; l=https://www.badsender.com/wp-content/uploads/2022/09/badsender-logo.svg; a=;
- - -
nslookup -q=txt default._bimi.badsender.com
default._bimi.badsender.com	text = "v=BIMI1; l=https://www.badsender.com/wp-content/uploads/2022/09/badsender-logo.svg; a=;”

– L’enregistrement BIMI du Journal des Femmes avec déclaration d’un certificat de marque VMC :

v=BIMI1;l=https://bimi.entrust.net/journaldesfemmes.fr/logo.svg;a=https://bimi.entrust.net/journaldesfemmes.fr/certchain.pem
- - -
nslookup -q=txt default._bimi.journaldesfemmes.fr
default._bimi.journaldesfemmes.fr	text = "v=BIMI1;l=https://bimi.entrust.net/journaldesfemmes.fr/logo.svg;a=https://bimi.entrust.net/journaldesfemmes.fr/certchain.pem"

Modifier la photo de profil de son compte Gmail

Pour afficher votre logo à tous vos utilisateurs Gmail, vous devez soit envoyer des emails depuis votre compte Gmail gratuit, soit avoir un compte Google Workspace payant avec un accès à la Console d’administration…

Modification de la photo de profil d’un compte Gmail gratuit

La procédure est super simple, il suffit juste d’éditer la photo de profil de son compte Gmail :

Modification de la photo de profil d’un compte Google Workspace

Pour modifier votre photo de profil via votre compte Google Workspace, il faudra passer par la console d’administration. Vous n’aurez pas la possibilité de mettre vous-même la photo que vous voulez.

• Dans la console d’administration, cliquez sur Annuaire › Utilisateurs
• Cliquez sur le nom de l’utilisateur pour ouvrir la page du compte
• Cliquez sur l’avatar du profil pour modifier la photo

Tester l’affichage de son logo sur Gmail

Pour tester l’affichage, il suffit d’envoyer un test à partir de votre outil de routage :

Exemple avec Babbel

Babbel utilise l’outil de routage d’Emarsys pour envoyer leurs e-mails. L’enregistrement Mx du domaine expéditeur pointe vers les serveurs de Google.

nslookup -q=mx members.babbel.com
members.babbel.com mail exchanger = 10 aspmx2.googlemail.com.
members.babbel.com mail exchanger = 20 alt1.aspmx.l.google.com.
members.babbel.com mail exchanger = 20 alt2.aspmx.l.google.com.
members.babbel.com mail exchanger = 30 aspmx2.googlemail.com.
members.babbel.com mail exchanger = 30 aspmx3.googlemail.com.
members.babbel.com mail exchanger = 10 aspmx.l.google.com.

Exemple avec Badsender

Mon adresse personnelle étant en @gmail.com, l’enregistrement Mx pointe forcément vers les serveurs de Gmail.

nslookup -q=mx gmail.com
gmail.com mail exchanger = 5 gmail-smtp-in.l.google.com.
gmail.com mail exchanger = 20 alt2.gmail-smtp-in.l.google.com.
gmail.com mail exchanger = 10 alt1.gmail-smtp-in.l.google.com.
gmail.com mail exchanger = 40 alt4.gmail-smtp-in.l.google.com.
gmail.com mail exchanger = 30 alt3.gmail-smtp-in.l.google.com.

Le mot de la fin de Badsender…

Voilà, vous savez à présent comment Babbel a affiché son logo dans ma boite Gmail sans certificat VMC. Vous n’avez plus qu’à répliquer si vous n’avez pas la possibilité d’opter pour l’achat d’un certificat de marque.

Il y a tout de même 2 avantages à réaliser cette manipulation :

• Vos utilisateurs Gmail auront une meilleure perception de vous (même si vous n’avez pas le checkmark bleu) de part l’affichage de votre logo (attention, ce n’est pas un gage de sécurité).

• Votre domaine expéditeur (ou domaine organisationnel) est déjà prêt pour BIMI dans le cas où vous décidiez d’acheter un certificat de marque VMC à court ou moyen terme.

Si vous avez des questions ou des besoins sur l’implémentation de DMARC ou de BIMI, n’hésitez pas à nous contacter directement 😉