BIMI für Postfix — DNS-Record, SVG-Hosting und DMARC-Voraussetzung

Postfix selbst hat KEINE BIMI-Konfiguration — BIMI ist ein DNS-Record, der vom empfangenden Mailserver ausgewertet wird. Der sendende Postfix muss DMARC-konform versenden (SPF + DKIM via OpenDKIM-Milter + Alignment), damit DMARC pass durchläuft und BIMI greifen kann. Diese Anleitung zeigt die DMARC-Voraussetzung im Postfix-Stack, das SVG-Hosting auf einem eigenen nginx/Apache, den BIMI-Record beim DNS-Provider und die Verifikation.

BIMI prüfen Plattform entdecken

Postfix · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 19. Mai 2026

BIMI für selbst gehostete Postfix-Mailserver

Postfix stellt keinen BIMI-Konfigurationsbereich bereit. BIMI ist ein DNS-Record nach IETF Internet-Draft Version 14 (1. Mai 2026), der vom EMPFANGENDEN Mailserver ausgewertet wird, nicht vom sendenden. Der sendende Postfix muss aber DMARC-konform versenden — SPF-pass, DKIM-Signatur über OpenDKIM-Milter mit Alignment auf die From-Domain, DMARC-Policy p=quarantine oder p=reject — sonst fällt DMARC und damit BIMI durch. Die offizielle Postfix-Dokumentation (postfix.org/TLS_README.html, Abruf 2026-05-19) enthält keine BIMI-Sektion.

Versions-Hinweis: BIMI selbst stellt keine Postfix-Versions-Anforderung, aber für die nachgelagerte Email-Sicherheits-Kette empfehlen wir Postfix 2.11+ (DNSSEC- und DANE-Voraussetzung — Original-Zitat aus postfix.org/TLS_README.html: „RFC 7672 (DANE) TLS authentication is available with Postfix 2.11 and later.“). Debian 12 und Ubuntu 22.04 LTS liefern Postfix 3.7+. NIS2 lit. e verlangt aktuelle Patch-Stände. Outlook-Limitation Stand Februar 2026: Microsoft Outlook und Exchange Online unterstützen BIMI NICHT — Tests gegen Outlook zeigen kein Logo, das ist erwartet.

Hardening-Pfad: MX → SPF → DKIM via OpenDKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern, Email-Spoofing und Phishing-Versuche visuell zu erkennen.

Die drei BIMI-Header im Draft 14 — warum Postfix keinen davon setzt

Der BIMI Internet-Draft 14 definiert drei Header-Felder, und ihre Rollenverteilung erklärt, warum ein sendender Postfix BIMI-konfigurationsfrei bleibt. Das optionale BIMI-Selector-Header-Feld darf ein Absender setzen, um einen anderen Selector als default zu adressieren. BIMI-Location und BIMI-Indicator fügt dagegen der empfangende Mailserver ein — BIMI-Location verweist den Mail-Client auf den geprüften Indicator, BIMI-Indicator trägt das verifizierte, base64-kodierte SVG bei. Praxis-Konsequenz: Weil produktive Clients ausschließlich den default-Selector auswerten, ist das BIMI-Selector-Header-Feld in der Praxis überflüssig — Postfix braucht dafür weder einen header_checks-Eintrag noch eine cleanup-Regel. Die einzige BIMI-relevante Postfix-Aufgabe bleibt sauberes DMARC-konformes Versenden, damit der empfangende Server überhaupt bis zur BIMI-Auswertung kommt.

Ausführliche Einführung in BIMI und VMC

1 Schritt 1 von 4

DMARC-Voraussetzung am sendenden Postfix prüfen

BIMI ist die Belohnung für ein vollständig konfiguriertes DMARC-Setup — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht oder DKIM-Signing fehlt. Bei Postfix laufen die drei DMARC-Stützen über verschiedene Komponenten: SPF im DNS, DKIM-Signierung über das OpenDKIM-Milter, DMARC-Policy ebenfalls im DNS.

# DMARC-Voraussetzung am sendenden Postfix prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...

# SPF (muss den sendenden Postfix-Server autorisieren)
dig TXT ihre-domain.de +short | grep "v=spf1"

# DKIM-Signing laeuft typisch ueber OpenDKIM-Milter
postconf -n | grep smtpd_milters
# Erwartet: smtpd_milters = inet:localhost:8891

# DKIM-Selector im DNS
dig TXT default._domainkey.ihre-domain.de +short
# Erwartet: v=DKIM1; k=rsa; p=<2048-Bit-Public-Key>

# Postfix-Version (BIMI selbst keine Versions-Anforderung,
# für DNSSEC/DANE-Schicht aber 2.11+ Pflicht)
postconf -d mail_version
# Erwartet: mail_version = 3.x.x

DKIM-Signierung in Postfix läuft über OpenDKIM-Milter

Postfix hat keine eingebaute DKIM-Signierung — das Standard-Pattern ist OpenDKIM als Milter (smtpd_milters = inet:localhost:8891). Ohne korrekt konfigurierte DKIM-Signaturen mit Alignment auf die From-Domain fällt DMARC durch und damit BIMI. Details zur OpenDKIM-Konfiguration siehe DKIM-Anleitung für Postfix.

2 Schritt 2 von 4

SVG Tiny PS Logo erstellen und auf eigenem nginx/Apache hosten

Das Logo muss als SVG Tiny Portable/Secure vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute laut BIMI-Draft V14: baseProfile gleich tiny-ps, version gleich 1.2, quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.

SVG-Hosting auf eigenem nginx/Apache

Postfix selbst bringt keinen Webserver mit. Sie hosten das Logo auf einem nginx- oder Apache-Webserver auf dem Postfix-Host oder einem separaten Hosting-Setup. Pflicht: HTTPS mit gültigem TLS-Zertifikat (Let's Encrypt), Content-Type image/svg+xml, öffentlich erreichbar ohne Login. Auf nginx muss die location /bimi/ die SVG mit dem korrekten MIME-Typ ausliefern, auf Apache reicht AddType image/svg+xml .svg. VMC-Anbieter für das Gmail-Häkchen: DigiCert, Sectigo oder GlobalSign — registrierte Marke (EUIPO/DPMA/USPTO) ist Pflicht, Verifizierung 2-6 Wochen, Standardlaufzeit 397 Tage.

3 Schritt 3 von 4

BIMI-Record im DNS — niemals in /etc/postfix/main.cf

Der BIMI-Record gehört NICHT in die Postfix-Konfiguration (/etc/postfix/main.cf, master.cf oder die OpenDKIM-Konfiguration). BIMI ist ein DNS-TXT-Record, der beim DNS-Provider Ihrer Domain hinterlegt wird — Cloudflare, deSEC, Netcup oder Hetzner DNS. TTL-Empfehlung 3600 Sekunden.

; BIMI-Record - beim DNS-Provider der Domain, NICHT in /etc/postfix/main.cf
; Postfix hat keinen BIMI-Konfigurationsbereich.
; Selector immer: default._bimi (BIMI Draft V14, 1. Mai 2026)
;
; v=BIMI1   Version (Pflicht)
; l=URL     SVG-Logo-URL, HTTPS Pflicht
; a=URL     VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)

default._bimi.ihre-domain.de.  IN  TXT  "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"

; Variante OHNE VMC (Yahoo/Fastmail/AOL/Apple-iCloud, KEIN Gmail-Logo):
default._bimi.ihre-domain.de.  IN  TXT  "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="

Trennung von MTA und DNS-Authority

Postfix ist der Mail-Transfer-Agent — DNS-Verwaltung läuft beim DNS-Provider Ihrer Domain. Diese Trennung ist by-design: BIMI-Records, SPF, DKIM-Public-Keys, DMARC, MX, DNSSEC-DS, TLSA und CAA werden alle beim DNS-Provider gepflegt, nie im MTA. Wenn Sie auf dem Postfix-Host gleichzeitig einen eigenen authoritativen DNS-Server betreiben (Unbound, BIND, Knot), wird der BIMI-Record dort in der Zone-Datei eingetragen — aber niemals in der Postfix-Konfiguration.

4 Schritt 4 von 4

Verifikation per dig, curl und Postfix-Mainlog

Nach DNS-Propagation (typisch 1-24 Stunden) verifizieren Sie den BIMI-Record per dig, die SVG-Erreichbarkeit per curl, das DKIM-Signing im Postfix-Mainlog und die Logo-Anzeige per Test-Mail an Gmail, Apple Mail, Yahoo, GMX und WEB.DE. Outlook zeigt KEIN Logo — das ist erwartet (Stand Februar 2026 keine BIMI-Unterstützung).

# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short

# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet: HTTP/2 200 + content-type: image/svg+xml

# VMC-Erreichbarkeit
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5

# Postfix-Mainlog: DKIM-Signature pro ausgehender Mail
grep "DKIM-Signature" /var/log/mail.log | tail -5

# Test-Mail vom Postfix an Gmail / Apple / Yahoo / GMX / WEB.DE senden.
# Outlook ignoriert BIMI Stand Februar 2026.

Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Postfix automatisch über die Banner-Detection für „ESMTP Postfix“, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift, abgelaufene VMCs und Content-Type-Fehler beim SVG-Hosting.

Häufige Fehler bei BIMI für Postfix

BIMI-Record in /etc/postfix/main.cf gesucht

Problem: BIMI-Konfigurationsparameter werden in main.cf oder master.cf gesucht. Ursache: Postfix hat keine BIMI-Konfiguration — BIMI ist ein DNS-Record, der vom empfangenden Mailserver-System ausgewertet wird. Lösung: BIMI-Record beim DNS-Provider der Domain setzen (Cloudflare, deSEC, Netcup, Hetzner DNS).

DKIM-Signierung-Lücke durch fehlendes OpenDKIM-Milter

Problem: BIMI-Record gesetzt, DMARC-Policy p=reject, kein Client zeigt das Logo. Ursache: Postfix hat keine eingebaute DKIM-Signierung — ausgehende Mails werden ohne DKIM-Signatur versendet, DMARC scheitert an fehlendem DKIM-pass-mit-Alignment, BIMI greift nicht. Lösung: OpenDKIM als Milter installieren (apt install opendkim opendkim-tools), smtpd_milters = inet:localhost:8891 in main.cf setzen, KeyTable mit aligned Selector konfigurieren. Details unter DKIM für Postfix.

SVG-Hosting ohne Content-Type image/svg+xml

Problem: SVG-Datei ist über HTTPS erreichbar, aber Clients zeigen das Logo trotzdem nicht. Ursache: nginx/Apache liefert die Datei mit application/octet-stream oder text/plain aus — BIMI-Draft V14 verlangt aber zwingend Content-Type image/svg+xml. Lösung: nginx-MIME-Mapping oder Apache AddType image/svg+xml .svg für den /bimi/-Pfad explizit setzen. Verifikation per curl -sI.

Outlook-Test als Konfigurations-Fehler interpretiert

Problem: Test-Mail vom Postfix an Outlook-Konto kommt OHNE Logo an — Annahme „Postfix-BIMI-Setup ist defekt“. Ursache: Microsoft Outlook und Exchange Online unterstützen BIMI Stand Februar 2026 NICHT. Lösung: Test ausschließlich gegen Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL Mail durchführen.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2 lit. a + lit. e + lit. h, BSI TR-03108, DSGVO mit Postfix BIMI

Eine BIMI-Plus-VMC-Kombination auf einem selbst gehosteten Postfix-Stack erfüllt drei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse + Sicherheit) durch visuelle Brand-Identity-Authentifizierung, lit. e (Schwachstellen-Management) durch Postfix-Versions-Hygiene (aktuelle 3.x-Releases, Debian-Stable-Patches, OpenDKIM-Updates) und lit. h (Kryptografie) durch die X.509-PKI-Logo-Bindung im VMC. Da der Self-Hosted-Postfix-Stack vollständig unter Ihrer Kontrolle steht, sind alle Komponenten direkt prüfbar.

Postfix-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. e (Postfix-Versions-Hygiene + OpenDKIM-Patch-Disziplin) + NIS2 lit. h (VMC-Kryptografie + DKIM-2048-Bit) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing). Wolf-Agents-USP: Der Email Security Check erkennt Postfix automatisch über die Banner-Detection für „ESMTP Postfix“, prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität und warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage). Cross-Verweis: Email-Spoofing und Phishing.

BIMI-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei BIMI · Postfix?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten