BIMI : le super protocole pour authentifier les emails

Vous avez déjà probablement reçu dans votre boîte de réception des emails de marques avec leur logo s’affichant à côté du nom d’expéditeur. Par ailleurs, la sécurité des emails, reste une des principales préoccupation du monde de l’emailing, à la fois pour les expéditeurs et les destinataires.

Découvrons donc ce qu’est BIMI, à quoi cet outil sert (à part embellir la boîte de réception), quels sont les avantages à l’adopter dès maintenant et ce dont vous avez besoin, ainsi qu’une liste d’étapes à suivre pour le mettre en œuvre avec succès.

Votre aventure avec BIMI commence ici.

Pour certain·es, bimi est d’abord le nom d’un brocoli. Alors certes, mais nous ne parlons pas ici de ce bimi. Nous parlons de BIMI, en majuscules.

BIMI (pour Brand Indicators for Message Identification) est un protocole d’emailing qui a commencé à être développé en 2015, avec la création du groupe de travail AuthIndicators.

Lorsque le BIMI est correctement installé, les destinataires verront les logos de la marque expéditrice dans leur boîte de réception et dans leurs messages. Notez cependant que pour l’instant, cela n’est possible qu’avec les clients de messagerie qui prennent en charge cette spécification.

Ci-dessous, vous trouverez une illustration de boîte de réceptions avec et sans BIMI :

Cependant, en quoi l’ajout d’un logo en boîte de réception est lié à l’authentification des emails ? Nous l’expliquons plus en détail dans la section consacrée aux questions techniques, mais pour résumer, pour mettre en œuvre la norme BIMI, il faut également que le protocole DMARC soit correctement installé. En fait, l’une des raisons derrière la création de BIMI était d’offrir une « récompense » aux entreprises qui faisaient l’effort de mettre en œuvre correctement le protocole DMARC.

Si vous êtes spécialiste du marketing par email, vous devez savoir que le BIMI présente un certain nombre d’avantages susceptibles d’intéresser votre entreprise :

À mesure que nous nous habituerons à voir des logos de marque sur les emails, notre méfiance à l’égard des emails qui n’en comportent pas augmentera. En outre, il est beaucoup plus facile de voir et de reconnaître un logo que d’avoir à consulter l’en-tête de l’email pour vérifier l’authenticité du domaine d’envoi.

Lorsqu’un client est victime d’une tentative d’escroquerie, il est tout à fait naturel qu’il soit frustré et qu’il rejette en partie la faute sur la marque dont l’identité a été usurpée. Non pas que la marque soit responsable de la tentative de hameçonnage. Mais reconnaissez que quelque chose ne va pas si ses communications peuvent être facilement usurpées.

Le BIMI rend cette usurpation d’identité plus difficile en ajoutant une étape supplémentaire.

Si votre logo apparaît dans la boîte de réception de vos abonnés, vous l’exposez à un plus grand nombre de personnes, qui s’en souviendront mieux. De plus, sur un marché comme la France, où seulement 4,65 % des entreprises ont commencé à adopter le BIMI, vous vous démarquerez de vos concurrents.

Pour toutes les raisons susmentionnées, la présence de votre logo sur vos emails augmente considérablement les chances que les destinataires interagissent. Vos abonnés seront convaincus qu’il s’agit d’un email légitime, ce qui contribuera à améliorer vos statistiques.

En outre, si vous ne l’avez pas encore fait, pour implémenter le BIMI, vous devrez mettre en place DMARC, ce qui contribuera également à améliorer votre réputation en tant qu’expéditeur.

Si la liste des avantages ci-dessus vous a convaincu que le BIMI convient à votre entreprise, voici quelques informations supplémentaires que vous devez connaître pour obtenir cette spécification tant convoitée.

Comme indiqué plus haut, BIMI est étroitement lié à DMARC (pour Domain-based Message Authentication and Conformance en anglais). L’une des raisons de l’existence de BIMI était d’essayer de motiver les entreprises à mettre en œuvre une authentification des emails plus robuste.

Par exemple, bien que DMARC soit depuis des années le moyen le plus sûr de lutter contre des problèmes comme le phishing, de nombreux expéditeurs ont des politiques DMARC trop laxistes. Selon le BIMI Radar, si près de 91 % des entreprises françaises ont implémenté des protocoles d’authentification de base, seulement 57 % d’entre elles appliquent des politiques DMARC robustes.

Pour comprendre les différents niveaux de protection, il convient de noter qu’il existe trois options pour les politiques DMARC :

• p=none : ne modifie pas les paramètres et laisse aux messageries le soin de décider comment filtrer les messages qui ne répondent pas aux critères DMARC.
• p=quarantine : cette option indique aux messageries d’envoyer les emails qui ne répondent pas aux critères DMARC dans le dossier spam.
• p=reject : il s’agit de l’option la plus stricte. Elle indique aux messageries de bloquer les emails qui ne répondent pas aux critères DMARC.

L’absence de DMARC ou le fait qu’il soit réglé sur p=none signifie que votre marque est vulnérable aux attaques par usurpation d’identité (aussi appelées spoofing). Par conséquent, une politique p=quarantine ou p=reject est nécessaire pour mettre en œuvre BIMI. Il s’agit d’une sorte de contrepartie de services de messagerie : « Vous nous facilitez la tâche pour rendre nos boîtes de réception plus sûres pour nos utilisateurs, et nous aidons vos clients pour qu’ils voient votre logo et sachent que vos emails sont légitimes ».

Il existe actuellement de nombreux clients de messagerie, tant au niveau mondial que local, qui prennent en charge l’utilisation de BIMI. En voici quelques exemples :

• Gmail
• Yahoo Mail
• AOL
• La Poste
• Apple Mail
• Fastmail

Vous noterez deux absences notables : Microsoft Outlook et Hotmail. Bien que l’on puisse s’attendre à ce que les messageries de Microsoft adoptent une spécification garantissant plus de sécurité, il n’y a pas encore eu de communication officielle de leur part le confirmant ou indiquant des délais estimés.

Le BIMI a reçu un coup de pouce avec l’adhésion de Gmail en 2021, mais de nouvelles exigences ont également été ajoutées. En particulier le VMC, qui nous donne encore des maux de tête.

Le VMC (pour Verified Mark Certificate) est un certificat de marque numérique délivré par une agence de certification pour vérifier que le logo que vous souhaitez utiliser vous appartient bien. Pour être vérifié, le logo de votre marque doit d’abord être enregistré en tant que tel auprès d’un office de propriété intellectuelle.

Ce certificat est destiné à accroître la sécurité du système (en principe, il empêche les acteurs malveillants d’utiliser votre logo pour usurper votre identité), mais il augmente également le coût du processus. Et bien qu’il ne soit pas obligatoire de disposer d’un VMC pour mettre en place le BIMI, certains clients de messagerie, tels que Gmail et Apple Mail, l’exigent pour afficher le logo dans leur boîte de réception.

Outre la prise en compte du VMC pour votre logo BIMI, il y a la question technique du type de fichier nécessaire pour l’importer sur le serveur DNS.

Dans ce cas, le fichier doit être au format SVG Tiny 1.2, qui est considéré comme un format sécurisé.

Vous devrez également veiller à ce que le logo soit bien présenté dans les différentes boîtes de réception.

Maintenant que vous connaissez les avantages et certains aspects techniques de BIMI, nous allons partager avec vous quelques étapes de base pour vous aider à le mettre en œuvre. N’oubliez pas que vous pouvez toujours demander l’aide d’un expert ou de votre service informatique. Quoi qu’il en soit, Email on Acid propose un guide encore plus détaillé sur l’implémentation de BIMI (en anglais).

Voici les sept étapes à suivre :

1. Identifiez votre domaine d’envoi : vous y téléchargerez l’enregistrement TXT de BIMI sur le serveur DNS.
   • Consultez vos équipes dédiées à la sécurité informatique ou vos services IT si nécessaire.
2. Vérifiez les protocoles d’authentification de vos emails : ils doivent être bien configurés et fonctionner.
   • Vous aurez besoin de DKIM (DomainKeys Identified Mail), de SPF (Sender Policy Framework) ou des deux (les deux étant la meilleure option).
3. Réglez DMARC sur p=quarantine ou p=reject : il n’y a pas d’intérêt à régler DMARC sur p=none.
   • Notez que certains paramètres supplémentaires sont nécessaires dans l’enregistrement DMARC.
4. Créez un logo BIMI sous forme de fichier SVG : ce sera le fichier importé sur le serveur DNS.
   • N’oubliez pas d’utiliser le format de fichier SVG Tiny 1.2, qui est considéré comme sûr.
5. Obtenez le VMC pour le logo : il doit provenir d’une agence d’accréditation.
   • DigiCert et Entrust sont deux exemples d’agences.
6. Publiez l’enregistrement BIMI : sur le serveur DNS, avec tous les autres enregistrements DNS.
   • N’oubliez pas de vérifier que l’emplacement du fichier du logo est correct.
7. Vérifiez que BIMI fonctionne correctement : assurez-vous que votre logo s’affiche correctement.
   • Vous pouvez utiliser cet outil gratuit de BIMIGroup.org pour analyser votre domaine et ses enregistrements TXT.
   • N’oubliez pas qu’il peut s’écouler quelques semaines avant que le message ne s’affiche correctement dans toutes les boîtes de réception.

Félicitations ! Vous êtes au bout de votre voyage BIMI et, en cours de route, vous avez amélioré à la fois votre sécurité et votre délivrabilité. Quelle meilleure récompense que la satisfaction du travail bien fait ? Eh bien l’amélioration de vos statistiques d’emailing qui est sur le point de se produire suite à l’implémentation de BIMI, pardi !

Il se peut que certains des éléments ci-dessus vous fassent douter que BIMI est la meilleure solution pour vous. Nous comprenons parfaitement. La mise en œuvre de BIMI est une tâche qui nécessite un investissement en temps, en efforts et en argent, ainsi que la collaboration de plusieurs personnes ou départements au sein de votre entreprise. Ce n’est pas une solution que l’on met en place d’un claquement de doigts.

Toutefois, nous vous recommandons de prendre au moins les mesures nécessaires pour configurer correctement tous les protocoles d’authentification (DKIM, SPF, DMARC). En couvrant les trois premières étapes du guide de base ci-dessus, vous renforcerez votre image de marque, améliorerez votre délivrabilité et pourrez passer au BIMI à l’avenir si les conditions changent.

Et si vous souhaitez rester au fait des meilleures pratiques en matière d’email marketing et en savoir plus sur les concepts qui peuvent affecter votre délivrabilité, tels que les politiques de caducité des emails ou les adresses noreply, inscrivez-vous à notre newsletter. Vous recevrez régulièrement nos dernières nouvelles dans votre boîte de réception.

Auteur: Thomas Hajdukowicz Spécialiste de la localisation et de la création de contenus (français) chez Sinch Mailjet