Préparez votre serveur de messagerie à la prise en charge de BIMI dans Apple Mail

Sous macOS Ventura 13, iOS 16 et iPadOS 16 (ou versions ultérieures), Apple Mail prend en charge la norme BIMI (Brand Indicators for Message Identification), indicateurs de marque pour l’identifi­cation des messages. Cette spécification permet aux clients de messagerie d’afficher des logos contrôlés par une marque en fonction des informations fournies par l’organisation concernée. Obtenez une vue d’ensemble du fonctionnement de la norme BIMI et découvrez comment vous assurer que les logos BIMI éligibles sont affichés pour les clients d’Apple Mail.

Aperçu

BIMI vise à assurer que les logos s’affichent uniquement dans les messages émanant véritablement de l’organisation qui les envoie. BIMI1, 2 s’appuie sur le déploiement du protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) dans un domaine pour empêcher son usurpation. Elle fonctionne avec les certificats VMC (Verified Mark Certificates)3, 4 et d’autres formes de documents de preuve BIMI pour vérifier la propriété et l’authenticité d’un logo, ainsi que le lien établi entre ce logo et le domaine en question.

La conformité à BIMI est gérée par le fournisseur de messagerie sur le serveur. Dans Apple Mail, le logo d’une organisation apparaît dans un message donné lorsque le fournisseur de messagerie :

  • S’est assuré de la conformité du message et du domaine à la spécification BIMI.
  • A vérifié le document de preuve BIMI (par exemple, un certificat VMC approuvé par le fournisseur de messagerie).
  • A ajouté les en-têtes requis garants de ces vérifications, comme le décrit la section « Assistance des clients d’Apple Mail ».

Si un fournisseur de messagerie n’a pas pris ces mesures pour un message donné, celui-ci n’affichera pas le logo d’une organisation dans Apple Mail.

Assistance des clients d’Apple Mail

Outre les exigences définies dans la spécification BIMI, les clients d’Apple Mail nécessitent qu’une signature DKIM (DomainKeys Identified Mail) soit insérée par le fournisseur de messagerie. La signature doit couvrir un en-tête Authentication-Results (également fourni par le fournisseur de messagerie) qui comprend une déclaration bimi. Cette exigence supplémentaire permet d’établir une base pour que les clients d’Apple Mail puissent se fier aux en-têtes BIMI insérés.

Un e-mail valide et conforme à la norme BIMI contient l’ensemble des en-têtes suivants (configurés selon la description ci-après) :

  • Un en-tête DKIM-signature, où la valeur h contient tous les Authentication-Results jusqu’à ceux que le serveur a insérés.
    • La valeur d doit avoir le même domaine d’organisation (eTLD+1) que le serveur de messagerie du destinataire.
    • La valeur l doit être égale à 0.
  • Un en-tête Authentication-Results avec bimi=pass et policy.authority=pass.
    • La valeur authserv-id doit avoir le même domaine d’organisation que l’un des deux éléments suivants :
      • le serveur de messagerie du destinataire ;
      • la valeur authserv-id du premier en-tête Authentication-Results (ajout le plus récent).
  • Un en-tête BIMI-Location qui comprend les valeurs l et a.
  • Un en-tête BIMI-Indicator.

Exemples d’en-tête

Tous les exemples de cette section partent du principe que le serveur de messagerie est le suivant : imap.example.com.

En-tête d’e-mail correctement configuré

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com;
    s=foo1234; t=1645949369;
    bh=bYktD+FKmAvkst9op6KYg+JHRznF/tB4agLqrbfatKo=; l=0;
    h=Authentication-Results:Authentication-Results:Authentication-Results:Authentication-Results:From;
    b=tpMLTXB...kQ==
Authentication-Results: bimi.example.com;
    bimi=pass header.d=examplesender.com header.selector=default
    policy.authority=pass
    policy.authority-uri=https://media.examplesender.com/media/vmc.pem
Authentication-Results: dmarc.example.com;
    dmarc=pass header.from=examplesender.com
Authentication-Results: dkim-verifier.example.com;
    dkim=pass (2048-bit key) header.d=examplesender.com header.i=@examplesender.com
    header.b=GyICAm88
Authentication-Results: spf.example.com;
    spf=pass smtp.mailfrom="delivery1234@send.examplesender.com"
BIMI-Indicator: eZvIB...kQ==
BIMI-Location: v=BIMI1;
    l=https://media.examplesender.com/media/logo.svg
    a=https://media.examplesender.com/media/vmc.pem

En-tête d’e-mail mal configuré (mauvais domaine DKIM)

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=wrongdomain.com;
    s=foo1234; t=1645949369;
    bh=bYktD+FKmAvkst9op6KYg+JHRznF/tB4agLqrbfatKo=; l=0;
    h=Authentication-Results:Authentication-Results:Authentication-Results:Authentication-Results:From;
    b=tpMLTXB...kQ==
Authentication-Results: bimi.example.com;
    bimi=pass header.d=examplesender.com header.selector=default
    policy.authority=pass
    policy.authority-uri=https://media.examplesender.com/media/vmc.pem
Authentication-Results: dmarc.example.com;
    dmarc=pass header.from=examplesender.com
Authentication-Results: dkim-verifier.example.com;
    dkim=pass (2048-bit key) header.d=examplesender.com header.i=@examplesender.com
    header.b=GyICAm88
Authentication-Results: spf.example.com;
    spf=pass smtp.mailfrom="delivery1234@send.examplesender.com"
BIMI-Indicator: eZvIB...kQ==
BIMI-Location: v=BIMI1;
    l=https://media.examplesender.com/media/logo.svg
    a=https://media.examplesender.com/media/vmc.pem

En-tête d’e-mail mal configuré (mauvais domaine Authentication-Results)

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com;
    s=foo1234; t=1645949369;
    bh=bYktD+FKmAvkst9op6KYg+JHRznF/tB4agLqrbfatKo=; l=0;
    h=Authentication-Results:Authentication-Results:Authentication-Results:Authentication-Results:From;
    b=tpMLTXB...kQ==
Authentication-Results: dkim-verifier.example.com;
    dkim=pass header.d=example2.com header.i=@example2.com
    header.b=tfwjEzge
Authentication-Results: bimi.wrongdomain.com;
    bimi=pass header.d=examplesender.com header.selector=default
    policy.authority=pass
    policy.authority-uri=https://media.examplesender.com/media/vmc.pem
Authentication-Results: dmarc.example.com;
    dmarc=pass header.from=examplesender.com
Authentication-Results: dkim-verifier.example.com;
    dkim=pass (2048-bit key) header.d=examplesender.com header.i=@examplesender.com
    header.b=GyICAm88
Authentication-Results: spf.example.com;
    spf=pass smtp.mailfrom="delivery1234@send.examplesender.com"
BIMI-Indicator: eZvIB...kQ==
BIMI-Location: v=BIMI1;
    l=https://media.examplesender.com/media/logo.svg
    a=https://media.examplesender.com/media/vmc.pem

Références

  1. BIMI (indicateurs de marque pour l’identification des messages)
  2. Instructions générales pour implémenter la norme BIMI
  3. Obtention et validation des certificats de marque vérifiée
  4. Exigences de sécurité minimales pour l’émission des certificats de marque vérifiée