BIMI für Google Workspace — Logo und blaues Häkchen in Gmail
Gmail unterstützt BIMI seit Juli 2021 als erster großer Provider und hat mit dem blauen Verifizierungshäkchen die BIMI-Adoption maßgeblich vorangetrieben. Für das blaue Verifizierungshäkchen ist ein VMC (Verified Mark Certificate) von DigiCert, Sectigo oder GlobalSign mit eingetragener Marke zwingend erforderlich — die reine Logo-Anzeige in Gmail ermöglicht auch ein CMC ohne Markenregistrierung. Diese Anleitung zeigt das vollständige Setup mit DMARC-Enforcement, VMC-Beantragung und BIMI-Record für Google-Workspace-Domains.
BIMI für Google Workspace und Gmail
Google Workspace (Gmail Business) ist der wichtigste BIMI-Treiber im Markt — Gmail führte BIMI mit VMC im Juli 2021 als erster großer Provider ein und ergänzte das blaue Verifizierungshäkchen im Mai 2023. Für das blaue Verifizierungshäkchen ist ein VMC (Verified Mark Certificate) zwingend erforderlich; die reine Logo-Anzeige in Gmail ermöglicht laut Google-Workspace-Doku auch ein CMC. Ohne Zertifikat — weder VMC noch CMC — zeigt Gmail nur den generischen Avatar mit der Initiale des Absendernamens. Die Google-Workspace-Doku (support.google.com/a/answer/10911320, Abruf 2026-05-19) listet die kompletten Anforderungen für Gmail-BIMI-Aktivierung auf.
Marktrelevanz Gmail in DACH: Im deutschen Consumer-Markt führen WEB.DE (26,4 Prozent) und GMX (25,7 Prozent) — beide United Internet AG — vor Gmail (13,8 Prozent, laut Convios-Consulting-Studie 2025 rückläufig). Da GMX und WEB.DE BIMI seit 2024 und Gmail seit 2021 unterstützen, ist die kombinierte Reichweite eines BIMI-Setups in Deutschland dennoch erheblich. Für Apple-Mail-Nutzer gelten die identischen VMC-Anforderungen (Logo aus VMC ausgelesen). Yahoo, Fastmail und AOL zeigen das Logo auch ohne VMC aus der l=-URL — Microsoft Outlook bleibt mit rund 8 Prozent (Outlook.com) plus dem B2B-Segment weiter ohne BIMI-Support.
Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: Das blaue Gmail-Häkchen ist für Empfänger ein starkes Vertrauenssignal gegen Email-Spoofing und Phishing — eine fehlende Logo-Anzeige ist ein direkter Hinweis auf einen Authentifizierungs-Bruch.
Viele DACH-KMU, Freiberufler und Vereine haben keine bei EUIPO oder DPMA eingetragene Marke und damit keinen Zugang zu einem VMC. Für die Gmail-Logo-Anzeige ist das kein Ausschluss: Ein CMC (Common Mark Certificate) aktiviert das Logo in Gmail ebenfalls — es entfällt lediglich das blaue Verifizierungshäkchen, das dem VMC vorbehalten bleibt. Sectigo beschreibt das CMC im Original als „a Common Mark Certificate (CMC) which allows your organization to display your logo in emails without a trademark“ (englisch, Abruf 2026-05-20); GlobalSign nennt es ein Zertifikat „for non-trademarked logos used for at least 12 months ... without the checkmark“. Voraussetzung für das CMC ist ein 12-Monats-Nutzungsnachweis des Logos statt einer Markenregistrierung; Sectigo stellt CMCs laut eigener Angabe „in 5-10 days“ aus. Verwandter Apple-Kanal: Neben dem klassischen BIMI-Pfad gibt es seit iOS 18.2 Apple Branded Mail über Apple Business Connect — einen Apple-eigenen Kanal, der verifizierten Absendern Logo und Markennamen in Apple Mail anzeigt. Branded Mail setzt ebenfalls SPF, DKIM und DMARC voraus, läuft aber über die Logo-Verifikation in Apple Business Connect statt über ein VMC und gilt nur für Apple-Geräte.
DMARC-Enforcement + SPF/DKIM-Alignment für Gmail prüfen
Gmail prüft bei jeder eingehenden E-Mail mit BIMI-Record: (1) DMARC pass mit p=quarantine oder p=reject auf Organizational-Domain-Ebene, (2) SPF UND DKIM bestanden und aligned (beide, nicht nur eins), (3) BIMI-Record syntaktisch korrekt, (4) VMC vorhanden und gültig. Erst wenn alle vier Bedingungen erfüllt sind, zeigt Gmail Logo + blaues Häkchen.
# DMARC + SPF + DKIM Status für Google-Workspace-Domain prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet (mindestens): "v=DMARC1; p=quarantine; rua=mailto:..."
# oder: "v=DMARC1; p=reject; rua=mailto:..."
dig TXT ihre-domain.de +short | grep "v=spf1"
# Erwartet: "v=spf1 include:_spf.google.com ~all"
# oder mit ~all → -all bei strikterer Konfiguration
dig TXT google._domainkey.ihre-domain.de +short
# Erwartet: "v=DKIM1; k=rsa; p=<2048-Bit-Public-Key>"
# Google Workspace nutzt 2048-Bit DKIM seit Mai 2023.
# Google MX-Pattern verifizieren (Stack-Detection)
dig MX ihre-domain.de +short
# Erwartet: 1 smtp.google.com. (Single-MX seit April 2023)
# oder Legacy-Cluster: 1 aspmx.l.google.com. + 5 alt1.aspmx.l.google.com. usw.Google Workspace nutzt seit Mai 2023 standardmäßig 2048-Bit-DKIM-Schlüssel — ältere Tenants mit 1024-Bit-DKIM sollten vor der BIMI-Aktivierung auf 2048 Bit umstellen, da das aktuell empfohlene Niveau (RFC 8301) ist. DKIM-Rotation erfolgt im Google Admin Console unter Apps → Google Workspace → Gmail → Authentifizieren E-Mail. Selector-Pattern: google._domainkey.ihre-domain.de.
VMC bei DigiCert, Sectigo oder GlobalSign beantragen
Für Gmail-Logo + blaues Häkchen ist ein VMC zwingend erforderlich. Aktive VMC-Aussteller Stand Mai 2026: DigiCert Inc. (kostenpflichtig pro Jahr, vierstelliger USD-Jahresbetrag, 397 Tage Maximalgültigkeit), Sectigo (kostenpflichtig pro Jahr, hat das VMC-Geschäft von Entrust 2025 übernommen) und GMO GlobalSign K.K. (Preise auf Anfrage, mit DE-Tochter für DACH-Support). Voraussetzung ist eine eingetragene Wort-/Bildmarke oder reine Bildmarke bei EUIPO, DPMA, USPTO oder einem äquivalenten Markenamt — reine Wortmarken reichen nicht aus.
Entrust Corp. hat am 29. Januar 2025 angekündigt, das VMC-Geschäft an Sectigo zu verkaufen. Die VMC-Ausstellung durch Entrust endete am 12. Mai 2025, die vollständige Migration der Bestandskunden zu Sectigo wurde am 25. September 2025 abgeschlossen. Wer Anfang 2026 nach VMC-Anbietern recherchiert, findet Entrust in älteren Quellen oft noch als „dritter großer Anbieter“ — aktuell aktiv sind nur DigiCert, Sectigo und GlobalSign. SSL.com bewirbt VMCs ebenfalls, der Status als aktiver Aussteller ist unabhängig nicht eindeutig verifizierbar.
SVG hosten und BIMI-Record beim DNS-Provider setzen
Das Logo wird als SVG Tiny Portable/Secure mit baseProfile="tiny-ps", quadratischem viewBox und deckendem Hintergrund auf einer HTTPS-URL gehostet. Das VMC-Zertifikat (PEM-Datei von Ihrem VMC-Anbieter) wird auf einer zweiten HTTPS-URL bereitgestellt. Der BIMI-Record wird dann beim DNS-Provider Ihrer Domain (Cloudflare, IONOS, Hetzner DNS Console, deSEC, Netcup) eingetragen — NICHT in der Google Admin Console.
; BIMI-Record für Google-Workspace-Domain — beim DNS-Provider, nicht in Google Admin
; default._bimi ist der Standard-Selector laut BIMI Internet-Draft Version 14
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"
; Gmail-Anforderungen (laut Google Workspace BIMI-Doku, Abruf 2026-05-19):
; 1. DMARC mit p=quarantine oder p=reject
; 2. SPF UND DKIM bestanden (Alignment)
; 3. BIMI-Record mit gültiger l=-URL und a=-URL
; 4. VMC-Zertifikat von DigiCert / Sectigo / GlobalSign
; 5. SVG Tiny PS (baseProfile="tiny-ps", quadratisch, deckend)
;
; Ohne VMC: Gmail zeigt Generic Avatar (Initiale), kein Logo, kein Häkchen.Die Google Admin Console verwaltet Gmail-Routing, DKIM-Selectors und Postmaster-Settings — aber NICHT den BIMI-Record. Den BIMI-Record setzen Sie beim DNS-Provider, der die Domain hostet. Wenn Sie die Domain über Google Domains (eingestellt September 2023, übergeben an Squarespace) verwaltet haben, wurde diese typisch zu Squarespace migriert — der BIMI-Record wird dort eingetragen. Bei Squarespace-DNS: Settings → Domains → DNS → TXT-Record hinzufügen.
Verifikation per Gmail-Test und Google Postmaster Tools
Senden Sie eine Test-Mail von Ihrer Workspace-Domain an ein privates Gmail-Konto und prüfen Sie visuell: Logo erscheint, blaues Häkchen ist sichtbar. Wichtig: DNS-Propagation kann 24-48 Stunden dauern, Gmail cacht BIMI-Informationen zusätzlich. Bei Problemen liefert die Google Postmaster Tools (postmaster.google.com) BIMI-spezifische Diagnosen — der Service ist kostenlos für Domain-Inhaber mit eingehender Mail-Aktivität bei Gmail.
# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short
# Erwartet: "v=BIMI1; l=https://...svg; a=https://...pem"
# SVG-Erreichbarkeit (Content-Type Pflicht für Gmail)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet:
# HTTP/2 200
# content-type: image/svg+xml
# VMC-Erreichbarkeit prüfen
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5
# Erwartet: HTTP/2 200, content-type: application/x-pem-file oder application/octet-stream
# Test-Mail an Gmail-Konto senden und Logo + Häkchen prüfen.
# Google Postmaster Tools für BIMI-Status:
# https://postmaster.google.com/
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Google-MX-Pattern (smtp.google.com seit April 2023 als Single-MX, sowie Legacy-Cluster aspmx.l.google.com) und validiert die kombinierte DMARC-BIMI-VMC-Kette inkl. SVG-Tiny-PS-Konformität und VMC-Ablaufdatum. Das Monitoring überwacht Veränderungen alle 6 Stunden — typische Drift-Pattern (VMC-Ablauf, SVG-Hash-Änderung) werden direkt erkannt.
Häufige Fehler bei BIMI für Google Workspace
Logo erscheint in Gmail, aber kein blaues Häkchen
Problem: Gmail zeigt Logo, aber das blaue Verifizierungshäkchen fehlt. Ursache: BIMI-Record nutzt nur den l=-Parameter, kein VMC im a=-Parameter. Lösung: VMC bei DigiCert, Sectigo oder GlobalSign beantragen (registrierte Marke Pflicht), PEM-Datei auf HTTPS-URL hosten und den BIMI-Record um den a=-Parameter ergänzen. Das blaue Häkchen erscheint nur mit gültigem VMC.
SPF-Alignment-Bruch bei externen Mail-Diensten
Problem: Marketing-Mails über SendGrid/HubSpot/Mailchimp erscheinen ohne Logo. Ursache: SPF wird via include über den externen Dienst aligned, aber DKIM-Signatur kommt vom externen Dienst-Dom — kein Alignment auf der Workspace-Domain. Lösung: DKIM beim externen Dienst über CNAME auf die Workspace-Domain konfigurieren (typischerweise s1._domainkey.ihre-domain.de) — dann wird DKIM aligned und BIMI greift auch für Drittanbieter-Mails. Cross-Verweis: SPF/DKIM-Provider-Anleitungen für SendGrid, HubSpot, Mailchimp.
VMC abgelaufen — Logo verschwindet schlagartig
Problem: Logo war monatelang sichtbar, plötzlich erscheint nur noch der Generic Avatar. Ursache: VMC-Zertifikat ist abgelaufen (Maximalgültigkeit 397 Tage seit CA/Browser-Forum-Beschluss). Lösung: Neues VMC beim Anbieter beantragen — Erneuerung typisch schneller als Erstausstellung (Marken-Verifikation bleibt gültig). Wolf-Agents warnt 30 Tage vor VMC-Ablauf, damit die Erneuerung rechtzeitig erfolgt.
Compliance: NIS2 lit. a + lit. h, BSI TR-03108 und DSGVO mit Google Workspace
Eine BIMI-mit-VMC-Konfiguration für Google Workspace erfüllt NIS2 Art. 21 Abs. 2 lit. a (Brand-Identity-Authentifizierung gegen Brand-Impersonation) und lit. h (X.509-PKI-Kryptografie für das VMC) kombiniert. Google Workspace selbst ist DSGVO-konform mit EU Data Residency (seit 2023) für DACH-Kunden — die BIMI-Logo- und VMC-Hosts bleiben in der Hoheit des Domain-Inhabers, typisch bei DACH-Providern für maximale Datensouveränität. Das blaue Gmail-Häkchen wirkt im NIS2-Risikomanagement als sichtbarer Vertrauensbeweis für Empfänger — ein direkter Phishing-Schutz auf User-Interface-Ebene.
Google-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing-Angriffen mit gefälschter Marken-Identität) + Google EU Data Residency 2023. Wolf-Agents-USP: Der Email Security Check erkennt Google-MX-Pattern (Single-MX smtp.google.com seit April 2023 und Legacy-Cluster), validiert die kombinierte DMARC-SPF-DKIM-BIMI-VMC-Kette mit Alignment-Prüfung, warnt 30 Tage vor VMC-Ablauf und prüft SVG-Tiny-PS-Konformität — kein anderer DACH-Scanner deckt diese Google-Workspace-spezifischen BIMI-Drift-Klassen ab. Cross-Verweis: Email-Spoofing und Phishing.
BIMI-Anleitung für weitere Provider:
Wie steht Ihre Domain bei BIMI · Google Workspace?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.