BIMI für Microsoft 365 — trotz fehlender Outlook-Unterstützung
Microsoft 365 (Exchange Online) ist Mail-Hoster, nicht DNS-Hoster — der BIMI-Record wird beim externen DNS-Provider Ihrer Domain hinterlegt. Wichtig: Microsoft Outlook und Exchange Online unterstützen BIMI Stand Februar 2026 NICHT. Diese Anleitung zeigt das vollständige Setup, damit Empfänger bei Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL Mail Ihr Logo neben Microsoft-365-Mails sehen.
BIMI für Microsoft 365 Custom Domains
Microsoft 365 stellt Exchange Online als Mail-Backend bereit, das DNS-Hosting für Ihre Custom-Domain läuft beim externen DNS-Provider Ihrer Wahl (Cloudflare, IONOS, Hetzner, deSEC, Netcup, INWX). Der BIMI-Record wird daher dort konfiguriert — nicht im Microsoft-365-Admin-Center. Die Microsoft-Dokumentation (learn.microsoft.com, Abruf 2026-05-19) beschreibt MX-, SPF-, DKIM- und CNAME-Records für M365-Setups, BIMI ist hingegen kein Microsoft-Mandat — die BIMI-Konfiguration ist Best Practice nach dem IETF Internet-Draft Version 14 (1. Mai 2026) und NIS2 Art. 21 Abs. 2 lit. a sowie lit. h.
Outlook-Limitation Stand Februar 2026: Microsoft Outlook (Web, Desktop, Mobile) und Exchange Online unterstützen BIMI NICHT — Microsoft Learn dokumentiert das explizit, eine Roadmap für BIMI-Unterstützung ist nicht kommuniziert. Trotzdem lohnt sich das Setup, weil ein erheblicher Teil Ihrer Empfänger Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail oder AOL Mail nutzt — alle diese Clients werten den BIMI-Record aus und zeigen Ihr Markenlogo, wenn die Voraussetzungen erfüllt sind.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing-Versuche im Namen Ihrer Marke zu erkennen.
M365-Kunden sehen ihre eigenen BIMI-Logos in Outlook nicht — Exchange Online und Outlook (Web, Desktop, Mobile) unterstützen BIMI Stand Februar 2026 nicht, eine Roadmap ist nicht kommuniziert. Das Consumer-Outlook.com läuft seit Ende 2023 in einer BIMI-Preview, deren Anzeige aber über Microsoft-interne Feature-Flags gesteuert wird, keinen Termin für die allgemeine Verfügbarkeit hat und über Desktop, Mobile und Web inkonsistent rendert. Drei konkrete Strategien für M365-Kunden: (1) BIMI trotzdem jetzt aufsetzen — der Record wirkt sofort für Gmail, Apple Mail, Yahoo, GMX und WEB.DE; im deutschen Markt erreicht das rund 65,9 Prozent der Hauptpostfächer (WEB.DE 26,4 plus GMX 25,7 plus Gmail 13,8 Prozent, Convios-Consulting-Studie 2025). (2) VMC oder CMC parallel beschaffen — sobald Microsoft die Anzeige aktiviert, greift Ihr Logo ohne weiteren Konfigurationsschritt. (3) Microsoft-Roadmap aktiv verfolgen — der Implementierungsstand lässt sich über Microsoft Q&A (learn.microsoft.com) und das Microsoft Feedback Portal beobachten; der Wolf-Agents Email Security Check dokumentiert die Outlook-BIMI-Lücke transparent im Befund.
DMARC-Enforcement-Status für Microsoft 365 prüfen
BIMI ist die Belohnung für DMARC-Enforcement — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht. Prüfen Sie daher zuerst den DMARC-Status Ihrer M365-Domain.
# DMARC-Status für M365-Domain prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# Bei p=none: BIMI bleibt wirkungslos.
# M365-MX-Pattern (Stack-Detection)
dig MX ihre-domain.de +short
# Erwartet: 0 IhrTenant.mail.protection.outlook.com.Microsoft 365 nutzt zwei DKIM-Selectors: selector1._domainkey und selector2._domainkey, die als CNAMEs auf Microsoft-eigene Subdomains zeigen. Für BIMI-Funktionalität müssen beide Selectors aktiv und DKIM-Signaturen aligned sein — sonst fällt DMARC und damit BIMI durch.
SVG Tiny PS Logo erstellen und auf HTTPS hosten
Das Logo muss als SVG Tiny Portable/Secure (SVG Tiny PS) vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute: baseProfile=tiny-ps, version=1.2, quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.
Microsoft 365 enthält keinen statischen Webserver für SVG-Logos — Sie hosten das Logo entweder auf Ihrem eigenen Webspace (IONOS / Hetzner / All-Inkl), auf einem CDN (Cloudflare Pages / Bunny.net / Azure Blob Storage mit eigener Domain) oder in einem Azure Storage Account mit Custom-Domain-Mapping. Pflicht: HTTPS mit gültigem TLS-Zertifikat, Content-Type image/svg+xml, öffentlich erreichbar ohne Login.
BIMI-Record beim externen DNS-Provider setzen
Der BIMI-Record wird NICHT im Microsoft-365-Admin-Center, sondern beim DNS-Provider Ihrer Domain gesetzt. Wenn Ihre Domain bei Microsoft DNS verwaltet wird (selten), nutzen Sie das M365-Admin-Center → Einstellungen → Domains → DNS-Einträge. Andernfalls Cloudflare, IONOS, Hetzner DNS Console, deSEC oder Netcup CCP. TTL-Empfehlung 3600 Sekunden.
; BIMI-Record für M365-Domain — beim DNS-Provider, NICHT in M365
; Selector immer: default._bimi
;
; v=BIMI1 Version (Pflicht, einziger Wert)
; l=URL SVG-Logo-URL, HTTPS Pflicht
; a=URL VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"
; Variante OHNE VMC (Budget-BIMI für Yahoo/Fastmail/AOL):
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="Microsoft 365 unterstützt das Domain-Connect-Protokoll für die automatische DNS-Konfiguration bei Providern wie IONOS, GoDaddy, Cloudflare, Namecheap, OVH und Network Solutions. Domain Connect propagiert MX/SPF/DKIM-CNAMEs automatisch, aber NICHT den BIMI-Record — den müssen Sie immer manuell beim DNS-Provider setzen.
Verifikation und Test — Outlook ignorieren
Nach DNS-Propagation (typisch 1-24 Stunden, je nach TTL und Provider) verifizieren Sie den BIMI-Record per dig und das SVG-Hosting per curl. Senden Sie dann Test-Mails an Konten bei Gmail, Apple Mail (iPhone/Mac), Yahoo, GMX und WEB.DE. Outlook (Web, Desktop, Mobile) zeigt KEIN Logo — das ist erwartet und kein Fehler.
# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short
# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet: HTTP/2 200 + content-type: image/svg+xml
# VMC-Erreichbarkeit
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5
# Test-Mail an Gmail / Apple Mail / Yahoo / GMX / WEB.DE senden —
# Outlook ignoriert den BIMI-Record (Stand Februar 2026).
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Microsoft-365-MX-Hostnamen automatisch über das Suffix *.mail.protection.outlook.com, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift.
Häufige Fehler bei BIMI für Microsoft 365
BIMI-Record im Microsoft-365-Admin-Center gesucht
Problem: BIMI-Tab im M365-Admin-Center wird erwartet. Ursache: Microsoft 365 ist Mail-Backend, nicht DNS-Hoster — und unterstützt BIMI ohnehin nicht im eigenen Stack (Outlook). Lösung: BIMI-Record beim externen DNS-Provider setzen (Cloudflare, IONOS, Hetzner, deSEC).
Outlook-Test als Fehlerquelle interpretiert
Problem: Test-Mail an Outlook-Konto kommt OHNE Logo an — Annahme „BIMI-Setup ist defekt“. Ursache: Microsoft Outlook und Exchange Online unterstützen BIMI Stand Februar 2026 NICHT. Lösung: Test ausschließlich gegen Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL Mail durchführen.
SVG nicht Tiny-PS-konform
Problem: BIMI-Record gesetzt, DMARC-Enforcement aktiv, kein Client zeigt das Logo. Ursache: SVG enthält verbotene Elemente (animate, script, opacity, eingebettetes PNG, externe Referenzen) oder fehlende Pflicht-Attribute. Lösung: Logo mit dem BIMI Group SVG Converter re-konvertieren und mit dem BIMI Inspector validieren.
Compliance: NIS2 lit. a + lit. h, BSI TR-03108, DSGVO mit Microsoft 365
Eine korrekt konfigurierte BIMI-Plus-VMC-Kombination für Microsoft 365 erfüllt zwei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung und lit. h (Kryptografie und Verschlüsselung) durch die X.509-PKI-Logo-Bindung im VMC. Microsoft 365 selbst ist DSGVO-konform mit EU Data Boundary (Full-Rollout 2024 abgeschlossen), die externen DNS-Records und SVG/VMC-Hosts bleiben in der Hoheit des Domain-Inhabers.
M365-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing) + Microsoft EU Data Boundary 2024. Wolf-Agents-USP: Der Email Security Check erkennt Microsoft-365-MX-Hostnamen automatisch (*.mail.protection.outlook.com Stack-Detection), prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität, warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage) und dokumentiert die Outlook-BIMI-Lücke. Cross-Verweis: Email-Spoofing und Phishing.
BIMI-Anleitung für weitere Provider:
Wie steht Ihre Domain bei BIMI · Microsoft 365?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.