Firmy chcąc uwiarygodnić w oczach odbiorców wysyłane e-maile umieszczają w nich swoje logo. Nie zawsze jednak wyświetla się ono prawidłowo. Co więcej oszuści podszywający się pod marki w fałszywych wiadomościach także umieszczają logotypy. Standard BIMI pozwala na szybką identyfikację wizualną nadawcy za pomocą logo, które wyświetla się nie w wiadomości, lecz w skrzynce odbiorczej użytkownika obok nazwy nadawcy.

Marcin Kujawski, dyrektor IT w EmailLabs, w podcaście zrealizowanym we współpracy z Tpay podkreślił, że BIMI to zupełnie nowy standard bezpieczeństwa, który w Polsce wzbudza coraz większe zainteresowanie. Jest już dostępny m.in dla skrzynek użytkowników Gmail, Yahoo i Fastmail.

W rozmowie z Martą Kwiatkowską z Tpay, Marcin Kujawski poruszył istotną kwestię konieczności edukowania społeczeństwa na temat BIMI. Ważne jest by odbiorca wiadomości wiedział, że wyświetlanie się logo na liście w skrzynce odbiorczej oznacza, że może zaufać nadawcy i bez obaw otworzyć wiadomość. Poniżej postaramy się przybliżyć ten standard, który opracowało stowarzyszenie BIMI Group.

Czym dokładnie jest BIMI?

Brand Indicators for Message Identification (BIMI) to nowy standard bezpieczeństwa. Rozszerza on już obowiązujące standardy o nową identyfikację na podstawie wyświetlanych w wiadomościach e-mail logotypów. Efektem wdrożenia BIMI jest wizualizacja logo firmy, która pojawia się obok wiadomości e-mail w skrzynce odbiorców.

Przebieg tego procesu rozjaśnia EmailLabs w publikacji „Standard BIMI: Zwiększenie bezpieczeństwa komunikacji e-mail”. Mianowicie nim nastąpi wizualizacja logo obok wiadomości, adres URL logo podlega skanowaniu i weryfikacji za pomocą VMC. Konieczne jest również uwierzytelnienie DMARC – wspierający dostawca skrzynek pocztowych weryfikuje, czy polityka DMARC domeny znajduje się na liście BIMI.

Głównym celem standardu BIMI jest zwiększenie bezpieczeństwa komunikacji e-mail. Implementacja tego rozwiązania pozwala na rozpoznawanie wiadomości od znanych nadawców w łatwiejszy sposób. Może to przełożyć się na większą otwieralność takich e-maili, poprzez wzbudzenie zaufania w zakresie potwierdzenia autentyczności firmy, która wysłała wiadomość.

BIMI a ochrona przed phishingiem

Cyberprzestępcy w celu wyłudzania danych osobowych i płatniczych stosują tzw. phishing. Ta metoda oszustwa polega na podszywaniu się pod inną markę np. w mailach, wiadomościach SMS, a nawet w ramach stworzonej strony internetowej. Phishing stanowi zagrożenie przede wszystkim dla osób, które padają ofiarą tego procederu, ale również firm, którym utrudnia budowę skutecznej komunikacji marki.

Skala tego zjawiska jest ogromna, a oszuści ulepszają swoje działania, często dostosowując je do sezonowych trendów. Według raportu firmy Kaspersky „Black Friday 2021: How to Have a Scam-Free Shopping Day” w samym okresie od 27 października do 19 listopada, produkty firmy wykryły aż 221 745 wiadomości spamowych zawierających słowa „Black Friday”. Spam zniechęca użytkowników skrzynek do otwierania wiadomości z nieznanych źródeł. Przez to firmom trudniej jest do nich dotrzeć ze swoją ofertą.

Marcin Kujawski w podcaście zrealizowanym we współpracy z Tpay wskazuje, że BIMI wprowadza dodatkowo identyfikację wizualną. Przekłada się to na lepsze zabezpieczenie przed phishingiem. W ramach procedury wyświetlania logo jednym ze stosowanych elementów jest certyfikat VMC – Verified Mark Certificate. Oznacza to, że nadawca może mieć niemal całkowitą pewność, że e-mail z tak wyświetlonym logo nie został wysłany w ramach akcji phishingowej.

Co jest niezbędne do wdrożenia BIMI?

Proces uzyskania autoryzacji BIMI na daną firmową domenę jest wieloetapowy. Przy czym konieczne będzie posiadanie logo, które spełnia wymogi BIMI, czyli jest zarejestrowanym znakiem towarowym. Pierwszy krok to wdrożenie SPF, DKIM i DMARC, które stanowią zabezpieczenie przed podszywaniem się pod nadawcę. Następnie niezbędne jest uzyskanie certyfikatu VMC. Certyfikat ten potwierdza autentyczność logo, które powiązane jest z domeną nadawcy wiadomości.

Więcej na temat procedury wdrożenia BIMI można dowiedzieć się z podcastu Tpay z udziałem Marcina Kujawskiego z EmailLabs.

Oprócz spełnienia wymienionych warunków należy pamiętać o dobrych praktykach, które pozwalają ulepszać komunikację w formie mailowej. Chodzi m.in. o stosowanie spersonalizowanych komunikatów, aktualizowanie bazy, w tym usuwanie z niej osób oznaczających otrzymane wiadomości jako spam.