BIMI & VMC: Markenidentität in E-Mail-Clients mit DMARC-Enforcement
BIMI (Brand Indicators for Message Identification) zeigt Ihr Markenlogo direkt neben E-Mails in Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL — als visueller Vertrauensbeweis für authentifizierte Absender. Dieses Kapitel deckt den IETF Internet-Draft (Version 14, 1. Mai 2026), VMC-Anbieter (DigiCert + Sectigo + GlobalSign), SVG Tiny Portable/Secure, DMARC-Enforcement-Pflicht und DACH-Adoption 2026 ab — mit Schritt-für-Schritt-Anleitungen für 16 Provider in 5 Kategorien.
Was ist BIMI — und warum DMARC-Enforcement Pflicht ist
BIMI (Brand Indicators for Message Identification) ist ein offener E-Mail-Standard, der das Markenlogo direkt neben E-Mails in unterstützenden Clients anzeigt — als visueller Vertrauensbeweis für authentifizierte Absender. BIMI ist Stand Mai 2026 ein IETF Internet-Draft (draft-brand-indicators-for-message-identification-14, publiziert am 1. Mai 2026), noch kein verabschiedeter RFC. Der Standard wird jedoch produktiv von Gmail, Apple Mail, Yahoo Mail, GMX, WEB.DE, Fastmail und AOL Mail unterstützt.
BIMI ist KEINE eigenständige Sicherheitsmaßnahme — es ist die Belohnung für eine korrekt implementierte E-Mail-Authentifizierung. Die zwingende Voraussetzung: DMARC mit Enforcement-Policy (p=quarantine oder p=reject) — p=none reicht nicht. SPF und/oder DKIM müssen korrekt konfiguriert und aligned sein. Ohne DMARC-Enforcement ignorieren alle BIMI-fähigen Clients den BIMI-Record — Wolf-Agents prüft beide Voraussetzungen automatisch im Email Security Check.
Hardening-Pfad bis BIMI: MX-Records → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI + VMC (dieses Kapitel). Bedrohungs-Cluster: BIMI hilft visuell gegen Email-Spoofing und macht Phishing-Versuche im Namen Ihrer Marke für Empfänger erkennbar — wenn keine Logo-Anzeige erscheint, ist die E-Mail höchstwahrscheinlich nicht authentifiziert.
Ohne DMARC-Enforcement ist BIMI wirkungslos
Der BIMI Internet-Draft Version 14 (§ 6.1, „Sender Action“) schreibt explizit vor: Der Absender muss eine DMARC-Policy mit p=quarantine oder p=reject auf Organizational-Domain-Ebene oder Subdomain-Ebene veröffentlichen. p=none wird von keinem BIMI-fähigen Client akzeptiert — Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL prüfen die DMARC-Policy vor der BIMI-Auswertung und werten den Record nur, wenn das Enforcement-Level erreicht ist. Arbeiten Sie deshalb zuerst Kapitel DMARC und Kapitel DMARC-Enforcement durch, bevor Sie BIMI angehen — sonst ist die BIMI-Konfiguration ein leerer DNS-Record ohne sichtbare Wirkung.
DMARC-zu-BIMI-Hardening-Pfad — 8 Stufen mit Pflicht-Gate
Der vollständige E-Mail-Security-Hardening-Pfad bis BIMI in 8 sequenziellen Stufen mit Kapitel-Nummern: MX-Records (01) → SPF (02) → DKIM (03) → DMARC p=none (04) → DMARC Enforcement p=quarantine/reject (04) → MTA-STS (05) → DNS-Sicherheit DNSSEC+DANE (07) → BIMI + VMC (08). Pflicht-Gate bei DMARC-Enforcement: ohne p=quarantine/p=reject kein BIMI.
E-Mail-Client-Support 2026: 7 Clients ja, Microsoft Outlook NICHT
Die Reichweite von BIMI hängt vollständig von der Client-Unterstützung ab — kein Client, keine Logo-Anzeige. Stand Februar 2026 unterstützen Gmail, Apple Mail, Yahoo Mail, GMX, WEB.DE, Fastmail und AOL Mail BIMI produktiv. Microsoft Outlook und Exchange Online unterstützen BIMI Stand Februar 2026 NICHT — Microsoft Learn bestätigt: „Exchange Online and Outlook do not currently support BIMI.“ (Original aus learn.microsoft.com, Oktober 2025). Microsoft hat keine Roadmap für eine BIMI-Implementierung kommuniziert.
BIMI-Client-Matrix Stand Februar 2026
| Client | BIMI-Support | VMC erforderlich? | DACH-Marktanteil (ca.) |
|---|---|---|---|
| Gmail | Ja (seit Juli 2021) | Ja — ohne VMC kein Logo, kein blaues Häkchen | 13,8 % (Convios 2025) |
| Apple Mail | Ja (seit iOS 16 / macOS Ventura, 2022) | Ja — VMC zwingend für Logo-Anzeige | Mail-App, kein Provider-Marktanteil |
| Yahoo Mail | Ja (seit 2019, Pionier) | Nein — Logo aus l=-URL reicht | nicht in Convios-Top-5 2025 |
| GMX | Ja (seit 2024, mit VMC) | Ja | 25,7 % (Convios 2025) |
| WEB.DE | Ja (seit 2024, mit VMC) | Ja | 26,4 % (Convios 2025) |
| Fastmail | Ja | Nein — Logo aus l=-URL reicht | < 1 % DACH |
| AOL Mail | Ja | Nein — Logo aus l=-URL reicht | < 1 % DACH |
| Microsoft Outlook | NEIN (Stand Februar 2026) | — | 15-20 % B2B-Anteil |
Konzern-Konsistenz im DACH-Markt: GMX und WEB.DE gehören beide zur United Internet AG (Montabaur, Deutschland) — analog zu Strato und IONOS. Diese Konzern-Bündelung erklärt die simultane BIMI-Aktivierung 2024 bei beiden Marken. Yahoo Mail und AOL Mail gehören beide zu Yahoo Inc. (USA, seit 2017 unter Verizon-Eigentümerschaft, danach Apollo Global Management ab 2021). Microsoft Outlook bleibt mit 15-20 Prozent B2B-Marktanteil eine relevante BIMI-Lücke — der Absendername bleibt dort das primäre Identifikationsmerkmal.
trustedDialog: Das DACH-Pendant für United-Internet-Postfächer
Parallel zu BIMI betreibt United Internet ein proprietäres System namens trustedDialog, das bei GMX, WEB.DE, 1&1, freenet und Telekom Mail Markenlogos und ein Prüfsiegel anzeigt — laut Anbieterangaben über 40 Millionen Postfächer im DACH-Raum. Im Unterschied zu BIMI ist trustedDialog kein offener Standard, sondern eine vertragliche Partnerschaft mit United Internet. Seit 2024 unterstützen GMX und WEB.DE BIMI mit VMC zusätzlich — beide Wege erreichen das gleiche Postfach. Eine kombinierte BIMI-plus-trustedDialog-Strategie deckt im DACH-Markt ungefähr 85-90 Prozent der Consumer-Postfächer ab, die verbleibenden 15-20 Prozent (Outlook) bleiben für visuelle Brand-Identity nicht erreichbar.
BIMI-Client-Adoptions-Roadmap 2019-2026
Chronologie der BIMI-Client-Unterstützung: 2019 Yahoo Mail (Pionier ohne VMC), Juli 2021 Gmail (mit VMC-Pflicht), 2022 Apple Mail iOS 16/macOS Ventura, 2024 GMX + WEB.DE (United Internet AG), Oktober 2024 Apple Branded Mail via Business Connect ab iOS 18.2, Ende 2023 Outlook.com Consumer-Preview ohne GA-Termin. Microsoft-Lücke: Exchange Online ohne BIMI.
VMC (Verified Mark Certificates): 3 aktive Anbieter Stand Mai 2026
Ein VMC (Verified Mark Certificate) ist ein digitales X.509-Zertifikat, das ein BIMI-Logo kryptografisch an eine eingetragene Marke bindet. Aktive VMC-Aussteller Stand Mai 2026: DigiCert Inc. (USA), Sectigo (USA, hat das VMC-Geschäft von Entrust übernommen — Migration im Jahr 2025 abgeschlossen) und GMO GlobalSign K.K. (Tokio, Japan, mit DE-Tochter für DACH-Support). Entrust Corp. hat die VMC-Ausstellung am 12. Mai 2025 eingestellt, Bestandskunden wurden zu Sectigo migriert (Pressemitteilung vom 29. Januar 2025, vollständige Migration zum 25. September 2025).
VMC-Anbieter-Matrix Stand Mai 2026 (Konzern-Konsistenz)
| Anbieter | Konzern / Sitz | Kosten (jährlich) | Gmail Blaues Häkchen |
|---|---|---|---|
| DigiCert Inc. | DigiCert Inc., Lehi, Utah, USA | Kostenpflichtig pro Jahr (vierstelliger USD-Jahresbetrag, digicert.com, Abruf 2026-05-19, 397 Tage Maximalgültigkeit) | Ja |
| Sectigo | Sectigo Limited, Roseland, New Jersey, USA | Kostenpflichtig pro Jahr (vierstelliger USD-Jahresbetrag, sectigo.com, Abruf 2026-05-19) | Ja |
| GlobalSign | GMO GlobalSign K.K., Tokio (DE-Tochter GlobalSign GmbH, München) | Auf Anfrage, Reseller-Preise im DACH-Markt verfügbar | Ja |
| Entrust Corp., Shakopee, Minnesota, USA | VMC-Geschäft am 12. Mai 2025 eingestellt — Migration zu Sectigo | — |
VMC-Voraussetzungen — registrierte Marke ist Pflicht
Ein VMC verlangt eine eingetragene Wort-/Bildmarke oder reine Bildmarke bei einem anerkannten Markenamt: EUIPO (EU-Marken in Alicante), DPMA (Deutsches Patent- und Markenamt München), USPTO (USA), IPI (Schweiz, Eidgenössisches Institut für Geistiges Eigentum) oder Patentamt Wien (Österreich). Reine Wortmarken ohne Logo reichen nicht aus — die CA prüft das tatsächliche Logo gegen die Markenregistrierung. Verifizierungsdauer typisch 2-6 Wochen (hauptsächlich durch die Marken-Verifikation), das eigentliche Zertifikat wird dann innerhalb 1-3 Tagen ausgestellt. Maximalgültigkeit beträgt nach CA/Browser-Forum-Regel 397 Tage — danach jährliche Erneuerung.
CMC als Alternative ohne registrierte Marke (seit September 2024)
Seit September 2024 bieten DigiCert und andere CAs zusätzlich das CMC (Common Mark Certificate) an — eine Logo-Zertifizierung ohne registrierte Marke. Voraussetzung ist ein Nutzungs-Nachweis: das Logo muss seit mindestens 12 Monaten nachweislich in Gebrauch sein. CMCs ermöglichen die Logo-Anzeige in Gmail, Apple Mail und GMX/WEB.DE — aktivieren aber kein blaues Häkchen in Gmail. Nur das VMC mit eingetragener Marke schaltet den Gmail-Verifizierungshaken frei. Die CMC-Preise variieren je nach Zertifizierungsstelle und Reseller stark — die VMC-/CMC-Beschaffungs-Matrix unten nennt die direkt verifizierten Anbieter-Angaben. CMCs eignen sich für KMU, Freiberufler und Organisationen ohne Markenregistrierung — als pragmatischer Einstieg vor einem späteren VMC-Upgrade.
VMC-Beschaffung im Detail: Markenamt-Coverage und Lieferzeiten
Hinter dem Listenpreis entscheiden zwei Faktoren über die tatsächliche VMC-Beschaffung: welche Markenämter die Zertifizierungsstelle akzeptiert und wie schnell sie nach abgeschlossener Verifikation ausstellt. Diese Matrix fasst den direkt von den Anbieter-Seiten verifizierten Stand vom 20. Mai 2026 zusammen.
| Anbieter | Markenamt-Coverage | Ausstellungs-Lieferzeit | CMC-Variante |
|---|---|---|---|
| DigiCert Inc. | Registrierte Marke oder staatliche Marke — die Produktseite grenzt keine konkreten Ämter ein | Zertifikat „usually within the same day“, sobald die Dokumentation vollständig verifiziert ist | CMC verfügbar — DigiCert nennt dafür denselben kostenpflichtigen Subscription-Umfang wie für das VMC |
| Sectigo | 17 anerkannte Markenämter, u.a. EUIPO, USPTO, UK IPO sowie weitere in Europa, Asien, Australien, Indien, Brasilien und Neuseeland | Für das VMC keine Angabe; das CMC wird laut Sectigo „in 5-10 days“ ausgestellt | CMC verfügbar — Einstieg ohne Markenregistrierung |
| GlobalSign | Regions-Prüfung vor Bestellung Pflicht („Please Check Your Region is Valid for a Verified Mark Certificate“) | Keine öffentliche Lieferzeit-Angabe; DE-Tochter GlobalSign GmbH für DACH-Support | CMC verfügbar — für Logos seit mindestens 12 Monaten in Gebrauch |
Praxis-Konsequenz für DACH-Unternehmen: Eine über die EUIPO (Unionsmarke) oder das DPMA (deutsche Marke) registrierte Wort-/Bildmarke wird von allen drei Anbietern akzeptiert — die Coverage-Frage ist für DACH-Marken unkritisch. Entscheidend ist die Reihenfolge: DMARC-Enforcement und das SVG-Tiny-PS-Logo müssen vor dem VMC-Antrag stehen, denn die Zertifizierungsstelle prüft beides im Ausstellungsprozess. Quelle: digicert.com, sectigo.com und globalsign.com VMC-Seiten, Abruf 2026-05-20.
CMC oder VMC? Entscheidungs-Matrix für DACH-Marken
Die Wahl zwischen VMC, CMC und einem zertifikatslosen BIMI-Record hängt an genau zwei Fragen — einer eingetragenen Marke und einem 12-Monats-Logo-Nachweis. Diese Matrix führt DACH-Brands ohne Umweg zum passenden Pfad.
| Ihre Ausgangslage | Pfad | Ergebnis in den E-Mail-Clients |
|---|---|---|
| Eingetragene Wort-/Bildmarke oder Bildmarke bei EUIPO, DPMA, USPTO, IPI (Schweiz) oder Patentamt Wien (Österreich) | VMC | Logo in allen BIMI-Clients plus blaues Verifizierungshäkchen in Gmail |
| Keine eingetragene Marke, aber das Logo ist seit mindestens 12 Monaten nachweislich in Gebrauch | CMC | Logo in Gmail, Apple Mail und GMX/WEB.DE — ohne blaues Häkchen |
| Weder eingetragene Marke noch belegbarer 12-Monats-Nachweis | Budget-BIMI (Record ohne a=-Parameter) | Logo nur bei Yahoo Mail, Fastmail und AOL — Gmail und Apple Mail zeigen den generischen Avatar |
Sectigo formuliert den CMC-Zweck im Original so: „a Common Mark Certificate (CMC) which allows your organization to display your logo in emails without a trademark“ (Originalzitat sectigo.com, englisch, Abruf 2026-05-20). GlobalSign beschreibt das CMC als „for non-trademarked logos used for at least 12 months ... without the checkmark“. Preis-Hinweis: Das CMC ist nicht automatisch günstiger als das VMC — DigiCert nennt für das CMC denselben kostenpflichtigen Subscription-Umfang wie für das eigene VMC (digicert.com Abruf 2026-05-20). Der CMC-Vorteil liegt im Wegfall der Markenregistrierung, nicht im Preis.
VMC-Anbieter-3-Vergleichsmatrix (Stand Mai 2026)
Die 3 aktiven VMC-Aussteller (Verified Mark Certificate) Stand Mai 2026: DigiCert Inc. (Lehi/Utah, ab 1.416 USD/Jahr, usually within the same day), Sectigo Ltd. (Roseland/New Jersey, 17 anerkannte IP-Ämter inkl. EUIPO/USPTO/UK-IPO), GMO GlobalSign K.K. (Tokio mit DE-Tochter München). Entrust Corp. hat VMC-Geschäft am 12.5.2025 eingestellt — von Sectigo übernommen.
CMC-vs-VMC-Decision-Tree — Zertifikatstyp-Auswahl
Entscheidungshilfe Zertifikatstyp für BIMI: Wurzel-Frage 'Eingetragene Wort-/Bildmarke vorhanden (EUIPO/DPMA/USPTO/IPI/Patentamt Wien)?'. Ja-Zweig führt zu VMC mit Gmail-Häkchen (ab 1.300-1.500 USD/Jahr). Nein-Zweig zu Folge-Frage 'Logo seit 12+ Monaten nachweislich in Gebrauch?'. Ja → CMC ohne Häkchen (Gmail/Apple Mail/GMX/WEB.DE, günstiger). Nein → Budget-BIMI ohne Zertifikat (Logo nur bei Yahoo/Fastmail/AOL).
Provider-DNS-Panel-Vergleich BIMI-Setup (12 Provider × 2 Kategorien)
Übersicht in welchem DNS-Panel der default._bimi-TXT-Record je Provider eingetragen wird. 9 Provider mit eigenem DNS-Hosting (IONOS Control Panel, Strato Kundenbereich, All-Inkl KAS, Hetzner DNS Console, Netcup CCP, Hostpoint HCP, Infomaniak Manager, World4You My-Panel, Cloudflare Dashboard). 3 Provider OHNE eigenes DNS-Hosting (Microsoft 365, Google Workspace, Proton Mail) — Record muss bei externem DNS-Provider gesetzt werden.
SVG Tiny Portable/Secure: Das Logo-Format mit den strengsten Regeln
BIMI akzeptiert ausschließlich SVG Tiny Portable/Secure (SVG Tiny PS) — ein eingeschränktes SVG-Profil, das auf der W3C-Spezifikation SVG Tiny 1.2 aufbaut und alle aktiven oder externen Elemente verbietet. Standard-SVG-Exporte aus Adobe Illustrator, Figma oder Inkscape sind fast nie BIMI-kompatibel — der BIMI Group SVG Converter (bimigroup.org/bimi-generator) konvertiert das Logo in das passende Profil. Eine Analyse der BIMI Group dokumentiert: 53,6 Prozent aller BIMI-Domains haben Konfigurationsfehler, davon 27,5 Prozent nicht-konforme SVG-Dateien — die häufigste Ursache sind verbotene Attribute wie opacity, animate, script oder eingebettete Rasterbilder.
SVG-Tiny-PS-Minimalbeispiel mit Pflicht-Attributen
; Pflicht-Attribute (sonst lehnen Clients das Logo ab):
; baseProfile="tiny-ps" SVG Tiny Portable/Secure Profil
; version="1.2" SVG-Tiny-1.2-Subset
; viewBox quadratisch Seitenverhältnis 1:1
; fill deckend keine opacity, keine Transparenz
Pflicht-Attribute: baseProfile="tiny-ps" deklariert das Portable/Secure-Subset, version="1.2" markiert die SVG-Tiny-1.2-Compliance, viewBox mit quadratischem Seitenverhältnis (1:1, z.B. „0 0 100 100“) und ein deckender Hintergrund per <rect fill="..."/>. Verboten sind: opacity oder fill-opacity, <animate>, <script>, externe Referenzen per xlink:href, eingebettete Rasterbilder (Base64-PNG/JPG), CSS-Stylesheets per <style>. Empfohlene Dateigröße unter 32 KB, der Logo-Server muss HTTPS mit gültigem TLS-Zertifikat ausliefern und image/svg+xml als Content-Type setzen.
Die 5 häufigsten SVG-Fehler in BIMI-Setups
(1) Adobe Illustrator fügt beim SVG-Export verbotene x- und y-Attribute zu <svg>- und <rect>-Elementen hinzu — diese müssen manuell entfernt werden. (2) Fehlender baseProfile="tiny-ps": Standard-SVG-Export erzeugt kein SVG Tiny PS. (3) CSS-Stylesheets im SVG: <style>-Blöcke sind verboten, Styles müssen als Inline-Attribute gesetzt werden. (4) Eingebettete Rasterbilder: Base64-kodierte PNGs/JPGs im SVG werden abgelehnt. (5) Transparenz: Jede Form von opacity oder fill-opacity macht das SVG ungültig. Validieren Sie das SVG vor der Veröffentlichung mit dem offiziellen BIMI Group SVG Converter und testen Sie mit einer realen Test-E-Mail an ein Gmail-Konto.
SVG Tiny Portable/Secure — Pflicht-vs-Verboten-Checkliste
Die Pflicht-Attribute und Verbote des SVG-Tiny-PS-Profils für BIMI: Pflicht sind baseProfile=tiny-ps, version=1.2, quadratischer viewBox, deckender Hintergrund per rect, unter 32 KB, HTTPS-Hosting, Content-Type image/svg+xml. Verboten sind opacity/fill-opacity, animate, script, externe xlink:href, eingebettete Base64-Rasterbilder, style-Blöcke. BIMI Group Empirik: 53,6 % aller BIMI-Domains haben Konfigurationsfehler, 27,5 % nicht-konforme SVG.
DACH-Adoption 2026: United-Internet-Block, Gmail und Brand-Beispiele
Die BIMI-Reichweite im DACH-Raum hängt stark von der Provider-Marktstruktur ab. Im deutschen Consumer-Markt führen WEB.DE (26,4 Prozent) und GMX (25,7 Prozent) — beide aus dem United-Internet-AG-Konzern (Montabaur) — vor Gmail (13,8 Prozent, rückläufig); Quelle ist die Convios-Consulting-Studie zum deutschen E-Mail-Markt 2025. Entscheidend für BIMI: Alle drei führenden Clients sind BIMI-fähig — GMX und WEB.DE seit 2024, Gmail seit 2021. Microsoft Outlook bleibt mit 15-20 Prozent B2B-Anteil ein für BIMI nicht erreichbarer Kanal, da Microsoft BIMI Stand Februar 2026 nicht unterstützt. Eine konservative ROI-Kalkulation für DACH-Unternehmen geht von 10-15 Prozent Öffnungsraten-Uplift bei realer DACH-Reichweite aus.
DACH-Brand-BIMI-Adopter (dig-verifiziert am 20. Mai 2026)
Die folgenden DACH-Marken haben einen aktiven BIMI-Record mit VMC — verifiziert per dig-Abfrage des default._bimi-TXT-Records am 20. Mai 2026. Alle sieben kombinieren den BIMI-Record mit einer durchgesetzten DMARC-Policy (p=reject), erfüllen die Voraussetzung also vollständig.
| Marke | Branche / Sitz | BIMI-Record-Befund (dig 2026-05-20) |
|---|---|---|
| Deutsche Post / DHL Group | Logistik, Bonn | BIMI mit VMC, DMARC p=reject — Logo aktiv |
| Commerzbank | Bank, Frankfurt am Main | BIMI mit VMC (über GlobalSign ausgestellt), DMARC p=reject |
| Siemens | Industrie, München | BIMI mit VMC, DMARC p=reject (pct=100) |
| dm-drogerie markt | Drogerie-Einzelhandel, Karlsruhe | BIMI mit VMC, DMARC p=reject (adkim=s, aspf=s) |
| MediaMarkt | Elektronik-Einzelhandel, MediaMarktSaturn | BIMI mit VMC (über DigiCert ausgestellt), DMARC p=reject |
| CHECK24 | Vergleichsportal, München | BIMI mit VMC, DMARC p=reject |
| Die Schweizerische Post | Logistik, Bern (Schweiz) | BIMI mit VMC, DMARC p=reject (sp=reject) |
Faktentreue-Hinweis: Diese Liste enthält ausschließlich dig-verifizierte Adopter. Marken ohne aktiven BIMI-Record auf der Hauptdomain (Stand 20. Mai 2026) wurden bewusst nicht aufgenommen. Lehrbeispiel zalando.de: Zalando hat einen vollständigen BIMI-Record samt VMC veröffentlicht, die DMARC-Policy steht aber auf p=none — kein E-Mail-Client zeigt das Logo an. Das belegt den Kernsatz dieses Kapitels: BIMI ohne DMARC-Enforcement bleibt wirkungslos.
DACH-Coverage-Rechnung: Wie viele Postfächer ein BIMI-Setup erreicht
Die Convios-Consulting-Studie zum deutschen E-Mail-Markt 2025 (Befragung Oktober 2025, 1.004 Personen ab 16 Jahren, repräsentativ) liefert die fünf reichweitenstärksten Hauptpostfächer. Entscheidend für die BIMI-Reichweite: die drei größten Anbieter sind alle BIMI-fähig.
| Anbieter | Anteil 2025 | Anteil 2024 | BIMI-fähig? |
|---|---|---|---|
| WEB.DE | 26,4 % | 23,0 % | Ja — seit 2024, mit VMC |
| GMX | 25,7 % | 25,2 % | Ja — seit 2024, mit VMC |
| Gmail | 13,8 % | 17,5 % | Ja — seit 2021, VMC für das Häkchen |
| Outlook.com | 8,0 % | — | Nur Consumer-Preview, nicht zuverlässig |
| T-Online | 7,8 % | — | Keine native BIMI-Unterstützung dokumentiert |
Coverage-Rechnung: WEB.DE (26,4 %), GMX (25,7 %) und Gmail (13,8 %) sind alle drei BIMI-fähig und summieren sich auf 65,9 % der deutschen Hauptpostfächer — fast zwei Drittel. Ein korrekt konfiguriertes BIMI-Setup mit VMC erreicht damit den überwiegenden Teil des deutschen Consumer-Marktes. Die Verschiebung 2024 zu 2025 verstärkt den Effekt: WEB.DE und GMX legen zu, Gmail fällt von 17,5 auf 13,8 Prozent — der BIMI-fähige United-Internet-Block aus WEB.DE und GMX erreicht zusammen 52,1 Prozent. Quelle: Convios-Consulting-Studie 2025, publiziert via newsroom.gmx.net am 20. November 2025, Abruf 2026-05-20.
ROI-Realität: Konservativ kalkulieren, Uplift nicht überschätzen
Die am häufigsten zitierten Daten stammen aus einer gemeinsamen Untersuchung von Red Sift und Entrust aus dem Jahr 2021 (Befragung von über 1.000 Verbraucherinnen und Verbrauchern in den USA und Großbritannien): +21 Prozent Öffnungsrate in den USA, +39 Prozent Öffnungsrate in Großbritannien, +44 Prozent Markenwiedererkennung — bei einer besonders starken Marke bis +120 Prozent. Diese Zahlen entstanden in einem kontrollierten Experiment mit begrenzter Stichprobe und sind nicht direkt auf den DACH-Markt übertragbar. Yahoo/Verizon Media zeigt in eigenen Pilotdaten moderatere Werte um +10 Prozent. Eine konservative DACH-Kalkulation rechnet mit +10 bis +15 Prozent Uplift auf BIMI-erreichbare Postfächer — die drei reichweitenstärksten deutschen Consumer-Clients GMX (25,7 Prozent), WEB.DE (26,4 Prozent) und Gmail (13,8 Prozent, Convios-Consulting-Studie 2025) sind alle BIMI-fähig und decken zusammen rund zwei Drittel der deutschen Privatkund:innen-Postfächer ab. Bei einem monatlichen Volumen von 50.000 Marketingmails bedeutet das ungefähr 6.000-10.000 zusätzliche Öffnungen pro Jahr — die VMC-Kosten amortisieren sich bei mittleren Conversion-Werten typisch nach 6-12 Monaten.
DACH-E-Mail-Markt 2025 — BIMI-Coverage 65,9 % (Convios-Consulting-Studie)
Convios-Consulting-Studie 2025 zum deutschen E-Mail-Markt (publiziert 20.11.2025, n=1.004, repräsentativ): WEB.DE 26,4 %, GMX 25,7 %, Gmail 13,8 % (rückläufig), Outlook.com 8,0 % (Preview), T-Online 7,8 %. BIMI-fähige Hauptpostfächer WEB.DE + GMX + Gmail = 65,9 % Coverage.
DACH-Brand-BIMI-Adoption (dig-verifiziert 2026-05-20)
7 dig-verifizierte DACH-Marken mit aktivem BIMI-Record und DMARC p=reject Stand 2026-05-20: Deutsche Post/DHL Group, Commerzbank (VMC via GlobalSign), dm-drogerie markt, Siemens, MediaMarkt/MediaMarktSaturn (VMC via DigiCert), CHECK24, Die Schweizerische Post. Anti-Pattern: zalando.de hat BIMI + VMC aber p=none → kein Logo. Deutsche Bank, Sparkasse und BMW haben KEINEN BIMI-Record (dig-verifiziert negativ).
BIMI-Record-Mechanik: default._bimi TXT-Record mit l= und a=
BIMI wird als DNS-TXT-Record unter dem Selector default._bimi veröffentlicht — der Selector-Name ist im IETF Internet-Draft Version 14 fest definiert. Der Record enthält drei Felder: v=BIMI1 (Version, Pflicht), l= (SVG-Logo-URL, Pflicht, HTTPS), a= (VMC-Zertifikat-URL, optional aber für Gmail blaues Häkchen erforderlich). Ohne VMC bleibt der a=-Parameter leer oder wird komplett weggelassen — Yahoo Mail, Fastmail und AOL zeigen das Logo trotzdem an, Gmail und Apple Mail nicht.
BIMI-Record-Beispiel mit und ohne VMC
; BIMI-Record für eigene Domain (BIMI Internet-Draft 14, 1. Mai 2026)
; Selector immer: default._bimi
; v=BIMI1 Version (Pflicht, einziger Wert)
; l=URL SVG-Logo-URL, HTTPS Pflicht
; a=URL VMC-Zertifikat-URL, optional (für Gmail blaues Häkchen erforderlich)
default._bimi.example.com. IN TXT "v=BIMI1; l=https://example.com/bimi/logo.svg; a=https://example.com/bimi/vmc.pem"
; Variante OHNE VMC (Budget-BIMI, Yahoo/Fastmail/AOL zeigen Logo trotzdem):
default._bimi.example.com. IN TXT "v=BIMI1; l=https://example.com/bimi/logo.svg; a="
Der Selector-Name default._bimi ist im Draft Version 14 fest definiert — andere Selectoren als default sind aktuell nicht produktiv von Clients ausgewertet. Die l=-URL muss HTTPS verwenden (HTTP wird abgelehnt), die SVG-Datei muss öffentlich erreichbar sein (kein Login, kein IP-Blocking) und mit Content-Type image/svg+xml ausgeliefert werden. TTL-Empfehlung 3600 Sekunden. Subdomains erfordern eigene BIMI-Records — ein Record auf default._bimi.example.com gilt nicht automatisch für newsletter.example.com.
Verifikations-Befehle für DMARC + BIMI + SVG-Hosting
# DMARC-Status prüfen (Voraussetzung für BIMI)
dig TXT _dmarc.ihre-domain.de +short
# Erwartet (mindestens): "v=DMARC1; p=quarantine; rua=mailto:..."
# oder: "v=DMARC1; p=reject; rua=mailto:..."
#
# Bei p=none ignorieren alle BIMI-fähigen Clients den Record —
# zuerst Kapitel 04 DMARC und Kapitel 05 DMARC-Enforcement durcharbeiten.
# BIMI-Record prüfen (nach Setup):
dig TXT default._bimi.ihre-domain.de +short
# SVG-Logo-Erreichbarkeit:
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet: HTTP/2 200
# content-type: image/svg+xml
# VMC-Zertifikat (falls gesetzt):
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Hosting (HTTPS + Content-Type + Tiny-PS-Profil), VMC-Erreichbarkeit und die kombinierte BIMI-Coverage über Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL Mail. Der Scanner ist auf 165 Punkte Email-Security ausgelegt — BIMI bringt 10 Bonus-Punkte (5 für BIMI-Record, 5 für VMC).
BIMI-Trust-Chain — 5 Stufen von SPF+DKIM bis Client-Rendering
Die vollständige BIMI-Vertrauenskette: (1) SPF + DKIM aligned, (2) DMARC-Enforcement p=quarantine/reject, (3) BIMI-TXT-Record default._bimi mit v=BIMI1 l= a=, (4) VMC-Zertifikat X.509-PKI gebunden an registrierte Marke (optional, aber für Gmail-Häkchen Pflicht), (5) Client-Rendering bei Gmail/Apple Mail/Yahoo/GMX/WEB.DE. Bei p=none ignoriert der Client den Record.
BIMI-DNS-Record-Struktur — annotierter Aufbau (BIMI Draft 14 § 4)
Anatomie des BIMI-TXT-Records default._bimi.example.com IN TXT v=BIMI1 l= a=. Selector default._bimi im Draft 14 fest definiert. v=BIMI1 Pflicht (einziger Wert). l= SVG-Logo-URL Pflicht HTTPS. a= VMC-URL optional aber für Gmail-Häkchen Pflicht. Häufige Fehler: HTTP statt HTTPS, fehlendes Leerzeichen nach Semikolon, falscher Selector, expired SVG-URL.
BIMI-Validierungs-Workflow — 4 Stufen nach Setup
Empfohlene Reihenfolge der BIMI-Validierung nach dem Setup: Stufe 1 BIMI Inspector (bimigroup.org) prüft Record-Format + DMARC-Enforcement, validiert NICHT SVG/VMC. Stufe 2 SVG-Tiny-PS-Validierung via BIMI Group SVG Assistant. Stufe 3 VMC-Erreichbarkeit per curl -sI. Stufe 4 Test-Mail an Gmail/Apple Mail/Yahoo/GMX/WEB.DE. DNS-Propagations-Wartezeit 24-48h.
NIS2-Konformität: BIMI für lit. a, VMC für lit. h
BIMI mit DMARC-Enforcement und VMC zahlt auf zwei NIS2-Buchstaben gleichzeitig ein. Art. 21 Abs. 2 lit. a („Risikoanalyse und Sicherheit für Informationssysteme“) wird durch die visuelle Brand-Identity-Authentifizierung erfüllt — BIMI macht Phishing-Versuche im Namen einer Marke für Endnutzer erkennbar, weil bei unauthentifizierten E-Mails kein Logo erscheint. Art. 21 Abs. 2 lit. h („Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung“) wird durch das VMC-Zertifikat erfüllt — die Logo-Bindung erfolgt kryptografisch über eine X.509-PKI-Kette mit einer registrierten Marke als Trust-Anchor. BIMI ohne VMC erfüllt nur lit. a, BIMI mit VMC erfüllt lit. a und lit. h kombiniert.
BIMI in regulatorischen Rahmenwerken
| Regulierung | BIMI-Bezug | VMC-Bezug |
|---|---|---|
| NIS2 Art. 21 Abs. 2 lit. a | Brand-Identity-Authentifizierung gegen Phishing-Angriffe | Verstärkt lit. a durch kryptografische Logo-Bindung |
| NIS2 Art. 21 Abs. 2 lit. h | Indirekt (BIMI baut auf DMARC + DKIM-Kryptografie auf) | Direkt erfüllt — X.509-PKI für Logo-Verifikation |
| BSI TR-03108 | Sicherer E-Mail-Transport (DMARC-Voraussetzung) | Ergänzend Brand-Identity-Layer |
| DSGVO Art. 32 | Markenschutz gegen Phishing schützt personenbezogene Daten | Verstärkt Art. 32 durch sichtbare Authentifizierung |
| NISG 2026 (AT, BGBl. I Nr. 94/2025) | NIS2-Umsetzung in Österreich, in Kraft am 1. Oktober 2026 | Anwendung analog NIS2 lit. a + lit. h |
| revDSG (CH, seit 1. September 2023) | Datenschutz gegen Brand-Impersonation-Angriffe | Art. 8 revDSG TOMs sinnvoll abdecken |
BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie) + BSI TR-03108 (DMARC-Enforcement als Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing). Wolf-Agents-USP: Der Email Security Check prüft den vollständigen BIMI-Stack — DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG Tiny PS-Validierung, VMC-Erreichbarkeit und Konzern-Konsistenz der Logo-Hosting-Domain. 10 Bonuspunkte im 165-Punkte-Scanner. Cross-Verweis: Email-Spoofing, Phishing und Alias-Strategie als komplementärer Identitäts-Schutz pro externem Dienst (BIMI schützt sichtbar die eigene Marke, Aliase schützen die Identität in Drittsystemen — beide ergänzen sich nach erreichter DMARC-Enforcement-Policy).
Wolf-Agents BIMI-Coverage-Pipeline (6 Scan-Stationen + 6h-Monitoring)
Wie der Wolf-Agents Email-Security-Check + Monitoring den BIMI-Stack prüft: 6 Stationen Stack-Detection, DMARC-Enforcement-Level-Check, BIMI-Record-Parsing, SVG-Tiny-PS-Validierung, VMC-Erreichbarkeit + Ablauf-Warnung 397-Tage-Gültigkeit, kombinierte Coverage-Berechnung über Gmail/Apple Mail/Yahoo/GMX/WEB.DE/Fastmail/AOL. 10 Bonus-Punkte für BIMI. 6h-Monitoring + Drift-Detection bei MX-Wechsel.
Häufig gestellte Fragen
Was ist BIMI und warum brauche ich DMARC-Enforcement dafür?
BIMI (Brand Indicators for Message Identification) ist ein offener E-Mail-Standard, der das Markenlogo direkt neben E-Mails in unterstützenden Clients anzeigt — als visueller Vertrauensbeweis für authentifizierte Absender. BIMI ist Stand Mai 2026 ein IETF Internet-Draft (Version 14 vom 1. Mai 2026), noch kein verabschiedeter RFC. Voraussetzung ist DMARC mit Enforcement-Policy (p=quarantine oder p=reject) — ohne Enforcement ignorieren alle BIMI-fähigen Clients den Record. BIMI ist die Belohnung für konsequente E-Mail-Authentifizierung, nicht ein eigenständiger Schutz.
Welche E-Mail-Clients unterstützen BIMI Stand 2026?
Gmail (seit 2021, VMC zwingend für Logo + blaues Häkchen), Apple Mail (seit iOS 16 und macOS Ventura, VMC erforderlich), Yahoo Mail (seit 2019, BIMI-Pionier, ohne VMC), GMX und WEB.DE (seit 2024, beide aus dem United-Internet-AG-Konzern, mit VMC), Fastmail und AOL Mail (ohne VMC). Microsoft Outlook unterstützt BIMI Stand Februar 2026 NICHT — das gilt für Outlook-Web, Outlook-Desktop und Exchange Online. Microsoft hat keine Roadmap für BIMI-Unterstützung kommuniziert.
Welche VMC-Anbieter sind aktuell aktiv?
Aktive VMC-Aussteller Stand Mai 2026: DigiCert Inc. (USA, kostenpflichtig pro Jahr laut digicert.com), Sectigo (USA, kostenpflichtig pro Jahr laut sectigo.com, hat das VMC-Geschäft von Entrust übernommen — Ankündigung 29. Januar 2025, Migration abgeschlossen 25. September 2025) und GMO GlobalSign K.K. (Tokio, Japan, mit DE-Tochter für DACH-Support). Entrust Corp. hat die VMC-Ausstellung am 12. Mai 2025 eingestellt — Bestandskunden wurden zu Sectigo migriert. SSL.com bewirbt VMCs ebenfalls, der Status als aktiver VMC-Aussteller ist unabhängig nicht eindeutig verifizierbar.
Was ist SVG Tiny Portable/Secure und warum so streng?
BIMI akzeptiert ausschließlich SVG Tiny Portable/Secure (basiert auf der W3C-Spezifikation SVG Tiny 1.2) als Logo-Format. Die Datei muss baseProfile="tiny-ps" und version="1.2" deklarieren, quadratisches viewBox haben (z.B. 0 0 100 100), einen deckenden Hintergrund (keine Transparenz, keine opacity-Attribute), keine Animation, kein JavaScript, keine externen Referenzen (xlink:href) und keine eingebetteten Rasterbilder (Base64-PNGs verboten). Empfohlene Dateigröße unter 32 KB. Diese Strenge schützt vor SVG-basierten Angriffsvektoren in E-Mail-Clients — analog zu der historischen SVG-Angriffs-Klasse aus dem Bedrohungs-Cluster.
Wie sieht ein BIMI-Record im DNS aus?
BIMI wird als DNS-TXT-Record unter dem Selector default._bimi veröffentlicht: default._bimi.example.com. IN TXT "v=BIMI1; l=https://example.com/bimi/logo.svg; a=https://example.com/bimi/vmc.pem". Die l=-URL verweist auf die SVG-Logo-Datei (HTTPS Pflicht, kein HTTP), die a=-URL auf das VMC-Zertifikat im PEM-Format. Ohne VMC bleibt der a=-Parameter leer oder wird komplett weggelassen — Yahoo Mail, Fastmail und AOL zeigen das Logo trotzdem an. TTL-Empfehlung 3600 Sekunden.
Erfüllt BIMI Anforderungen aus NIS2 Art. 21 Abs. 2?
BIMI zahlt auf lit. a (Risikoanalyse und Sicherheit für Informationssysteme) ein, weil es die Brand-Identity-Authentifizierung visuell bestätigt und Brand-Impersonation-Angriffe deutlich erschwert. Das VMC-Zertifikat wiederum erfüllt lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung), weil die Logo-Bindung kryptografisch über eine X.509-PKI-Kette mit einer registrierten Marke verankert ist. BIMI ohne VMC erfüllt nur lit. a, BIMI mit VMC erfüllt lit. a und lit. h kombiniert. NIS2 lit. e (Sicherheitsupdates) ist für BIMI nicht primär einschlägig.
Welche DACH-Adoption hat BIMI 2026?
Im deutschen Consumer-Markt sind die reichweitenstärksten Clients zugleich BIMI-fähig: WEB.DE (26,4 Prozent) und GMX (25,7 Prozent) — beide United Internet AG — führen vor Gmail (13,8 Prozent, rückläufig); GMX und WEB.DE unterstützen BIMI seit 2024, Gmail seit 2021. Zusammen decken die drei rund 65,9 Prozent der deutschen Hauptpostfächer ab (Convios-Consulting-Studie zum deutschen E-Mail-Markt 2025). Microsoft Outlook bleibt mit 15-20 Prozent B2B-Marktanteil ein nicht erreichbarer Kanal — Microsoft unterstützt BIMI Stand Februar 2026 NICHT. Per dig verifizierte DACH-Brand-Adopter mit aktivem BIMI-Record (Stand 20. Mai 2026): Deutsche Post / DHL, Commerzbank, Siemens, dm-drogerie markt, MediaMarkt, CHECK24 und die Schweizerische Post. Konservativer ROI-Korridor: 10-15 Prozent Öffnungsraten-Uplift bei realer DACH-Reichweite.
Wie steht Ihre Domain bei BIMI & VMC — Markenidentität in E-Mail-Clients?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.