Připravte se na BIMI v Gmailu

1 April, 2021 BIMIVMC

Není žádným tajemstvím, že Google již několik měsíců pilotuje BIMI (Brand Indicators for Message Identification) ve službě Gmail. Nakonec to bylo i předmětem velké tiskové zprávy a v celém odvětví se ozývalo, jak jsou e-mailoví geekové i marketéři nadšeni. Nyní, když je pilot ve své druhé fázi a BIMI v Gmailu se blíží obecné dostupnosti, je čas se podívat na detaily o požadavcích.

Začněme od základů – loga a BIMI záznamů. Loga jsou velmi důležitou součástí uživatelského zážitku. Pomáhá příjemcům identifikovat odesílatele zprávy. Ať už se jedná o fotografii kontaktu nebo logo značky, obrázek vedle jména odesílatele uživateli usnadňuje jeho identifikaci.

Doposud firmy neměly téměř žádnou kontrolu nad zobrazovaným logem. Logo, které se zobrazilo, se lišilo v závislosti na mnoha faktorech, jako je poskytovatel e-mailové schránky, e-mailový klient, použité zařízení atd. Někteří e-mailoví klienti vytáhli logo z favikonu webu, jiní použili loga ze sociálních sítí (zejména v mobilu) a další měli svůj vlastní seznam vybraných log. To vedlo k nekonzistentnímu uživatelskému zážitku, což ovlivnilo i vztah se značkou.

BIMI je nově vznikajícím standardem, který má tento problém překonat. Dává firmám kontrolu nad jejich indikátory vytvořením jednoduchého záznamu na doméně. Firmy mohou nyní určit konkrétní logo, které bude použito napříč poskytovateli e-mailových schránek, e-mailovými klienty a zařízeními a poskytnout tak jednotný zážitek spojený se značkou.

BIMI se nachází v takzvaném „BIMI záznamu“ v DNS vaší domény. Tento záznam poskytuje informaci o umístění loga značky a také volitelnou autentizaci loga.

BIMI záznam může vypadat například takto:

brand-domain.com IN TXT “v=BIMI1; l=https://brand-domain.com/logo.svg; a=https://brand-domain.com/vmc.pem”.

Tento záznam říká přijímajícím serverům, že odesílající doména publikovala logo v umístění určeném atributem l=. Logo bylo certifikováno a certifikát je v umístění nastaveném atributem a=.

Aby byla zajištěna ochrana uživatelů před imitací značky, je zobrazení BIMI podmíněno několika faktory. Hlavní ochrana spočívá v požadavku na nasazení DMARC záznamu (DKIM-signed Message Authentication, Reporting and Conformance) s nastavenými restriktivními DMARC pravidly (tj. p=quarantine, nebo p=reject) na doméně na úrovni organizace. DMARC je standard, který umožňuje vlastníkům domén ověřování e-mailů a chrání domény před zneužitím. Nasazením DMARCu mohou přijímající servery snadno zjistit, zda je e-mail autentický nebo ne. Pokud vaše doména není DMARCem chráněna, měli byste se podívat na náš článek o nejčastějších problémech při jeho nasazování.

Jak bylo popsáno v předchozím odstavci, BIMI logo může být zobrazeno pouze v případě, že je doména společnosti chráněna před zneužitím a phishingem, tzn. jsou nastavena restriktivní DMARC pravidla (p=quarantine, nebo p=reject). I když je nasazení DMARC záznamu s restriktivními pravidly nutným požadavkem pro zobrazení BIMI, jeho nasazení samo o sobě ještě nezaručuje, že bude BIMI logo zobrazeno. Důležitou roli hraje také reputace domény, objemy odeslaných e-mailů a další faktory. Rozhodnutí, zda bude logo zobrazeno, záleží na jednotlivých poskytovatelích e-mailových schránek.

Yahoo.com jako jediný velký poskytovatel poštovních schránek podporující BIMI umožnil testování BIMI mnoha značkám. Někteří byli opravdu nadšení, když viděli správné logo, jiní se ptali, proč správné logo nevidí. V 99 % případů to bylo způsobeno nastavením BIMI záznamu a pochopením dalších faktorů, které hrály roli.

První uživatelé často zapomínali, že BIMI není určeno pro osobní korespondenci. BIMI by se tedy nemělo zobrazovat pro jana.novakova@domena.cz, protože Jana není značka, ale člověk. BIMI by se mělo zobrazovat pro info@domena.cz, objednavky@domena.cz, novinky@domena.cz atd. – tedy pro zprávy, které představují komunikaci značky. Objem zpráv hraje také nemalou roli, neboť přijímací servery musí mít dostatečné množství dat, aby mohly počítat reputaci. Pokud posíláte pár tisíc e-mailů za týden, pravděpodobně této hranice nedosáhnete.

Všechna tato bezpečnostní opatření se zaměřují na identifikaci odesílatele zprávy, ale žádné z nich nemůže zaručit, že logo v BIMI záznamu v DNS je legitimní. Protože vlastník domény má BIMI záznam v DNS pod kontrolou, může jej kdykoli změnit, což je jedna z klíčových výhod. Současně ale nic nebrání tomu, aby podvodný odesílatel získal dobrou reputaci pro doménu a poté vyměnil logo v BIMI záznamu například za logo banky a zahájil phishingovou kampaň. Ano, netrvalo by dlouho, než by to bylo odhaleno, ale škoda jak pro příjemce, tak pro značku by již byla způsobena. V boji proti takovému zneužívání má BIMI svůj vlastní mechanismus ověřování loga s názvem Verified Mark Certificate (VMC), který bude Gmail vyžadovat.

Verified Mark Certificate (VMC)

Tento certifikát je podobný SSL certifikátům, které se používají pro webové stránky. Vydává jej certifikační autorita, která ověřuje vlastnictví loga značky. Proces získávání VMC je velmi podobný procesu získávání certifikátu SSL Extended Validation (EV) pro web.

V prvním kroku je potřeba ověřit poskytnuté informace o společnosti. To se obvykle provádí ověřením v obchodním rejstříku a voláním na telefonní čísla ověřená v  databázích třetích stran. Během ověřování musí kontaktní osoba prokázat svou totožnost a oprávnění a nadřízený orgán ve společnosti musí tyto informace potvrdit. Jakmile je provedeno ověření společnosti, může žadatel získat tolik EV certifikátů, kolik chce, ale většinu ověření musí certifikační autorita opakovat každý rok.

Ve druhém kroku se ověřuje vlastnictví domény. To se provádí přidáním záznamu do domény, zveřejněním souboru na webu nebo kliknutím na odkaz v e-mailu zaslaném na jeden z doménových e-mailů (postmaster, abuse, webmaster). Ověření domény musí být provedeno samostatně pro každou jednotlivou doménu a subdoménu a musí být každoročně znovu potvrzováno.

Zatímco tyto dva kroky jsou podobné EV procesu a ověřují vlastnictví společnosti a domény, ověření VMC jde o krok dál. Protože logo v BIMI záznamu musí být ověřeno, certifikační autority budou využívat existující ochranné známky. To znamená, že každá značka, která bude chtít získat VMC, bude muset mít obrazovou (vizuální) nebo slovní ochrannou známku odpovídající požadovanému logu (nebo kombinaci loga a slova).

Abychom vám poskytli lepší příklad, podívejme se na naše logo. Vlastníme slovní značku pro slovo „Mailkit“ a můžeme ji použít pro VMC jakýmkoli písmem nebo barvou, kterou si vybereme (ale ne ve formě loga).

Mailkit used as a wordmark

Máme také obrazovou ochrannou známku pro naše logo, kterou bychom mohli použít ve VMC a použít v našem BIMI záznamu v jeho vizuální podobě.

BIMI logo based on the trademark
BIMI logo odpovídající naší ochranné známce

BIMI Logo using our symbol only
BIMI logo používající náš symbol

Pokud bychom chtěli získat VMC pro symbol obálky z našeho loga, kterou aktuálně používáme v našem BIMI záznamu, museli bychom požádat o samostatnou ochrannou známku. Jedná se o přiměřený požadavek, protože by bylo téměř nemožné, aby certifikační orgány ověřovali, zda je část loga dostatečně jedinečná nebo ne.

Proces získání nové ochranné známky není příliš obtížný a není ani příliš drahý (v USA od 300 USD, v EU od 850 EUR), ale zpracování trvá přibližně 6 měsíců, protože žádost prochází dalším interním prověřováním ze strany patentového úřadu a veřejným připomínkováním. V současné době existuje v EU speciální dotační program pro malé a střední podniky, jehož cílem je pomoci získat ochranné známky ve výši až 1 500 EUR na společnost. Máte-li zájem získat ochrannou známku a využít těchto dotací, kontaktujte nás a rádi vás odkážeme na naši patentovou kancelář.

Protože ověřování VMC nějakou dobu trvá, připravili jsme formulář pro předběžnou registraci, který umožní provést​​​​​​​ předběžnou validaci vaší značky a budete tak připraveni požádat o VMC mezi prvními jakmile budou certifikace otevřené veřejnosti.

BIMI na Gmailu

Gmail je nyní ve druhé fázi pilotního projektu, jehož cílem je otestovat všechny aspekty BIMI a VMC. Ověřování během pilotního projektu se provádí pomocí různých metod ověření kontaktních údajů (notářem, přes videohovor), loga se kontrolují na různých úřadech ochranných známek po celém světě atd. Samotné zobrazení BIMI podléhá testování v Gmailu, aby se zjistil odpovídající uživatelský zážitek, a to jak na desktopu, tak v mobilní aplikaci Gmailu.

Při práci s našimi klienty, kteří se pilotního programu účastní, jsme si uvědomili, že proces získání VMC je pro marketéry zatím velkou neznámou. I když je proces podobný získání EV SSL, ten obvykle provádějí IT oddělení. VMC byla pro většinu marketérů první zkušenost s ověřováním a proces tedy vyžaduje vedení a podporu. Proces získání VMC navíc často vyžaduje spolupráci více oddělení – marketingu, IT a bezpečnosti, oddělení brandu, právního oddělení a případně dalších v závislosti na struktuře společnosti. Některé velké nadnárodní společnosti, které se pilotu účastnily, procesem prošly za několik dní, zatímco jiným společnostem to trvalo týdny. Je proto zásadní předat co nejvíce informací o BIMI a VMC všem oddělením, protože jim to pomůže lépe pochopit, co je potřeba.

Kdy tedy můžeme očekávat, že BIMI začne fungovat? Oficiální datum dostupnosti pro veřejnost zatím není k dispozici, ale objevují se informace, které poukazují na spuštění v létě 2021. Ať už jste si BIMI osvojili dříve, nebo se teprve chystáte BIMI implementovat, než bude spuštěna podpora v Gmailu, důrazně doporučujeme, abyste začali pracovat na svých ochranných známkách. VMC bude pro Gmail zásadním požadavkem a proslýchá se, že Yahoo! bude v budoucnu VMC vyžadovat také.