BIMI forklart: Slik viser du firmalogoen i e-post
BIMI er den siste brikken i e-postsikkerhetspuslespillet: når DMARC er på plass, kan du vise firmalogoen ved siden av e-posten i Gmail og Apple Mail. Det er både et tillitssignal til mottaker og et synlig bevis på at domenet ditt er korrekt beskyttet.
- BIMI står for Brand Indicators for Message Identification og er en DNS-basert standard som kobler en verifisert logo til e-post fra domenet ditt.
- DMARC med
p=quarantineellerp=rejecter en absolutt forutsetning. Står du påp=none, vises ingen logo. - VMC-sertifikat (Verified Mark Certificate) fra DigiCert eller Entrust koster ca. 12 000–15 000 NOK/år og kreves av Gmail og Apple Mail.
- Logoen må være i SVG Tiny PS-format og hostes på eget domene, typisk
/bimi/logo.svg. - Støttes i Gmail, Apple Mail (iOS 16+), Yahoo Mail og Fastmail per 2026. Outlook henger fortsatt etter.
Innhold
Hva er BIMI?
BIMI (Brand Indicators for Message Identification) er en e-poststandard som lar et selskap publisere sin verifiserte firmalogo i DNS, slik at e-postklienter som Gmail og Apple Mail kan vise logoen ved siden av meldinger i innboksen. Standarden er definert i en IETF-utkast og brukes i praksis av de største e-postleverandørene siden 2021.
Teknisk består BIMI av tre komponenter:
- En DNS TXT-record på
default._bimi.dittfirma.nosom peker til logoen. - En SVG-fil i formatet SVG Tiny PS, hostet på eget domene.
- Et VMC- eller CMC-sertifikat som beviser at du har rettighetene til logoen.
Når Gmail mottar en e-post fra dittfirma.no, sjekker den at meldingen består DMARC-verifisering, slår opp BIMI-recorden, validerer sertifikatet, og viser deretter logoen til mottaker. Det hele tar millisekunder og er usynlig for sluttbruker — bortsett fra logoen som plutselig dukker opp.
Hvorfor BIMI er viktig
BIMI er ikke en sikkerhetsstandard i seg selv — det er et tillitssignal som gjør det vanskeligere for phisherne å lure mottakerne. Når kundene venner seg til å se din logo ved siden av legitime e-poster, blir en logoløs falsk faktura mye mer mistenkelig.
Tre konkrete fordeler:
- Tillit ved første blikk. En verifisert logo i innboksen forteller mottaker at avsenderen er den de utgir seg for å være — uten at brukeren må sjekke avsenderadresse eller signatur.
- Synlig avkastning på DMARC-investering. DMARC er teknisk og usynlig. BIMI gjør det synlig at du har gjort jobben — for markedsavdelingen og ledelsen.
- Bedre åpningsrater. Google publiserte i 2022 tall som viste at BIMI-aktiverte avsendere i snitt fikk 10 % høyere åpningsrater på nyhetsbrev. Effekten er størst for B2C-bedrifter med mange kunder.
Det er også verdt å nevne den indirekte gevinsten: BIMI tvinger frem en streng DMARC-policy. Du kan ikke aktivere BIMI før domenet er ordentlig låst med p=quarantine eller p=reject — som i seg selv eliminerer den viktigste phishing-vektoren mot kundene dine.
Krav for å bruke BIMI
BIMI er strikt med inngangskravene. Hvis ett av disse mangler, vises ingen logo:
- DMARC må være på
p=quarantineellerp=reject.p=noneaksepteres ikke. Dette er hardkodet i Gmails BIMI-validering. - Subdomain-policy må stemme. Hvis du bruker
sp=i DMARC, må den også være på quarantine eller reject. - SPF og DKIM må bestå konsekvent. Sender du via leverandører som ikke signerer DKIM korrekt, vil BIMI feile på de meldingene.
- Logoen må eksistere som SVG Tiny PS, hostet på HTTPS med gyldig sertifikat.
- Et VMC- eller CMC-sertifikat som tilsvarer logoen og domenet (Gmail og Apple Mail krever dette i praksis).
- Logoen må være registrert som varemerke i godkjent jurisdiksjon (USA, EU, UK, Japan, India, Australia, Canada, Sør-Korea, eller via Madridprotokollen). Et norsk varemerke registrert hos Patentstyret kvalifiserer hvis det også er meldt internasjonalt via Madrid.
Mangler du DMARC ennå, start med vår DMARC-guide. Bruker du Microsoft 365, har vi en egen DMARC i Microsoft 365-guide som tar deg helt til p=reject.
VMC-sertifikat og CMC-fallback
Verified Mark Certificate (VMC) er digital sertifikat som beviser at organisasjonen din eier den registrerte logoen. Det er det største kostnadselementet i et BIMI-oppsett og utstedes av to sertifikatutstedere globalt: DigiCert og Entrust. Pris i 2026 ligger på 12 000–15 000 NOK per år, avhengig av leverandør og avtaleperiode.
Hva utstederen verifiserer
For å få et VMC må du dokumentere:
- At organisasjonen din eksisterer (Brønnøysund-uttrekk eller tilsvarende).
- At du eier varemerket (kopi av registreringsbeviset fra Patentstyret eller WIPO).
- At logoen i SVG-filen er identisk med det registrerte varemerket.
- At du har autoritet til å bestille på vegne av selskapet.
Prosessen tar typisk 2–4 uker. Norske bedrifter må gjerne dokumentere ekstra fordi automatiseringen til DigiCert er bygget rundt amerikanske og britiske registre.
CMC — Common Mark Certificate
CMC er en rimeligere variant introdusert i 2023 for bedrifter uten registrert varemerke. Logoen må fortsatt ha vært i bruk i minst 12 måneder, og prisen ligger rundt 5 000–8 000 NOK/år. Men: CMC aksepteres kun av Gmail. Apple Mail krever VMC, og det vil ikke vise logoen din uten et fullt verifisert varemerke. For de fleste norske bedrifter med Apple-tunge kunder er CMC derfor en halv løsning.
Praktisk tips: Hvis du ikke har registrert logoen som varemerke, søk om varemerkebeskyttelse via Patentstyret før du bestiller VMC. Internasjonalt vern via Madridprotokollen tar 6–12 måneder, men prosessen er enklere å starte før du investerer i sertifikatet.
Slik setter du opp BIMI steg-for-steg
BIMI-oppsett krever fire faser: forberede DMARC, lage SVG-logo i riktig format, anskaffe VMC, og publisere DNS-recorden. Realistisk tidslinje er 4–8 uker for nye oppsett, hvorav det meste går med til DMARC-modning og VMC-utstedelse.
Steg 1: Verifiser DMARC-policy
Sjekk gjeldende DMARC-record. Du må ha:
v=DMARC1; p=quarantine; rua=mailto:dmarc-rapport@dittfirma.no; pct=100;eller bedre:
v=DMARC1; p=reject; rua=mailto:dmarc-rapport@dittfirma.no; pct=100;Test status raskt på data1.no. Hvis du står på p=none, må du gjennom monitoring-fasen først. Vår DMARC-generator hjelper deg å lage en korrekt record.
Steg 2: Klargjør SVG-logoen
Logoen må være i SVG Tiny Portable/Secure (SVG Tiny PS) — en sikker delmengde av SVG-spesifikasjonen. Krav i hovedsak:
- Kvadratisk format (1:1 sideforhold), typisk 800×800 piksler i viewBox.
- Solid bakgrunnsfarge (ikke gjennomsiktig).
- Ingen skript, eksterne referanser, fonter, animasjoner eller raster-bilder.
baseProfile="tiny-ps"ogversion="1.2"i SVG-tagen.<title>-element med organisasjonsnavnet.- Filstørrelse under 32 KB.
Eksempel på korrekt header:
<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg" version="1.2" baseProfile="tiny-ps" viewBox="0 0 800 800">
<title>Micronet AS</title>
<!-- logo paths -->
</svg>De fleste designverktøy lager ikke SVG Tiny PS direkte. Bruk verktøy som SVG Tiny Validator fra BIMI Group eller DigiCerts gratis online-validator for å rense filen. Last opp filen til en stabil URL på eget domene: https://dittfirma.no/bimi/logo.svg.
Steg 3: Bestill VMC fra DigiCert eller Entrust
Send inn:
- SVG-filen som skal sertifiseres.
- Varemerkeregistrering (Patentstyret + Madrid hvis aktuelt).
- Foretaksinformasjon (Brønnøysund-uttrekk).
- Kontaktinformasjon for autorisert bestiller.
Du mottar etter 2–4 uker en .pem-fil som inneholder hele sertifikatkjeden. Last denne opp ved siden av logoen: https://dittfirma.no/bimi/vmc.pem.
Steg 4: Publiser BIMI DNS-recorden
Legg til en TXT-record på default._bimi.dittfirma.no:
v=BIMI1; l=https://dittfirma.no/bimi/logo.svg; a=https://dittfirma.no/bimi/vmc.pemForklaring:
v=BIMI1: Versjon (alltid denne).l=: URL til SVG-logoen.a=: URL til VMC- eller CMC-sertifikatet.
Vent 1–24 timer på DNS-propagering. Send deretter en testmail til en Gmail-adresse — logoen skal dukke opp i avatarfeltet i løpet av få minutter eller noen timer (Gmail cacher BIMI-data).
Hvilke e-postklienter støtter BIMI?
Per mai 2026 er BIMI-støtten betydelig bedre enn for noen år siden, men ikke universell. Her er en aktuell oversikt:
| Klient | Status | Krav |
|---|---|---|
| Gmail (web og app) | Full støtte siden 2021 | VMC eller CMC kreves siden 2023 |
| Apple Mail (iOS 16+, macOS Ventura+) | Full støtte | VMC kreves (ikke CMC) |
| Yahoo Mail | Full støtte | VMC eller CMC |
| Fastmail | Full støtte | VMC eller CMC |
| La Poste | Full støtte | VMC eller CMC |
| Outlook / Microsoft 365 | Annonsert, ikke utrullet bredt | — |
| Thunderbird | Ingen native støtte | — |
| ProtonMail | Ingen støtte | — |
For norske bedrifter er det først og fremst Gmail og Apple Mail som teller. Sammen dekker disse 60–70 % av norske privatkunder, og enda mer hvis du sender mye til mobile enheter.
Vanlige feil ved BIMI-oppsett
Etter å ha hjulpet en del bedrifter gjennom BIMI ser vi de samme feilene gå igjen:
- DMARC står fortsatt på
p=none. Den klart vanligste årsaken til at logoen ikke vises. Gmail logger ikke noen feilmelding — den bare lar være å vise logoen. - SVG inneholder ikke
baseProfile="tiny-ps". Designteamet eksporterer en vanlig SVG fra Illustrator eller Figma. Filen ser ut til å være SVG, men passerer ikke BIMI-validering. - Logoen er ikke kvadratisk eller har gjennomsiktig bakgrunn. SVG-en må fylle hele viewBox med en solid farge.
- VMC-sertifikatet er bestilt på feil juridisk entitet. Hvis Brønnøysund-navnet er "Micronet AS" men varemerket er registrert på "Micronet" (uten AS), avvises VMC-søknaden.
- BIMI-recorden ligger på feil sted. Den skal være på
default._bimi.dittfirma.no— ikke_bimi.dittfirma.noellerbimi.dittfirma.no. - Filer hostet på CDN uten korrekt CORS/HTTPS. Hvis SVG eller VMC ikke kan hentes via HTTPS med gyldig sertifikat, feiler BIMI uten feilmelding.
- Subdomain-policy mangler. Sender du e-post fra
nyhetsbrev.dittfirma.no, måsp=i DMARC også være på quarantine eller reject.
Test og overvåk BIMI
BIMI er en av de standardene der det ikke holder å sjekke "ved oppsett" — du må overvåke status kontinuerlig. Hvis DMARC-policyen senkes ved en feil, eller VMC-sertifikatet utløper, forsvinner logoen uten varsel.
Praktiske test-steg:
- Kjør en full analyse på data1.no. Skriv inn domenet på forsiden eller gå direkte til /sjekk/dittfirma.no. Vi sjekker BIMI-recorden, validerer SVG-format, ser om VMC-sertifikatet er gyldig, og verifiserer at DMARC-policyen kvalifiserer.
- Send en testmail til en Gmail-adresse. Logoen skal dukke opp i listen over meldinger. Hvis den ikke gjør det, åpne meldingen og klikk "Vis original" — Gmail eksponerer da hvilken BIMI-validering som feilet.
- Test på iOS. Apple Mail har strengere krav til VMC enn Gmail. En CMC eller en VMC med formelle mangler kan vises i Gmail men ikke i Apple Mail.
- Sett opp varsling. data1.no varsler deg automatisk hvis BIMI-status endrer seg på et overvåket domene. Det er kritisk for VMC-fornyelse, som typisk skjer årlig.
Vi anbefaler også å lese vår pillar-artikkel om e-postsikkerhet for å se hvordan BIMI passer inn i en helhetlig strategi sammen med SPF, DKIM, DMARC og MTA-STS.
Sjekk BIMI-status for domenet ditt
Gratis fullanalyse av SPF, DKIM, DMARC og BIMI — uten registrering.
Analyser eget domene →Ofte stilte spørsmål om BIMI
Hva er BIMI i én setning?
BIMI er en e-poststandard som lar bedriften vise sin verifiserte firmalogo ved siden av meldinger i innboksen — som et synlig kvalitetsstempel på at e-posten faktisk kommer fra autorisert avsender.
Trenger jeg DMARC for å bruke BIMI?
Ja, og det er ikke valgfritt. BIMI krever at domenet har en DMARC-policy på p=quarantine eller p=reject. p=none aksepteres ikke. Start gjerne med vår DMARC-guide hvis du ikke har det på plass ennå.
Hva koster et VMC-sertifikat?
Et Verified Mark Certificate fra DigiCert eller Entrust koster typisk 12 000–15 000 NOK per år. CMC (Common Mark Certificate) er rimeligere, men aksepteres ikke av Apple Mail.
Hvilke e-postklienter viser BIMI-logoen?
Per 2026 viser Gmail (web og mobil), Apple Mail (iOS 16+, macOS Ventura+), Yahoo Mail og Fastmail BIMI-logoen. Outlook og Microsoft 365 har ennå ikke full støtte, men Microsoft har varslet at det kommer.
Hvorfor må logoen være i SVG Tiny PS-format?
SVG Tiny Portable/Secure er en sikker delmengde av SVG uten skript, eksterne referanser eller animasjoner. Mottakerservere kan dermed rendre logoen uten sikkerhetsrisiko. PNG og JPG aksepteres ikke.
Kan jeg bruke BIMI uten VMC-sertifikat?
Gmail krever VMC eller CMC for at logoen skal vises. Apple Mail krever VMC spesifikt. Uten et gyldig sertifikat vil logoen ikke dukke opp i de viktigste klientene — selv om DNS-recorden er korrekt.