BIMI up Scotty
Her i mail-land har der i denne uge været en del fokus på “Brand Indicators for Message Identification” eller forkortet BIMI. Det skyldtes at Google meldte ud, at de starter en limited trial i Gmail. Tidligere har det primært været Yahoo! Mail, der har forsøgt sig.
Det er ikke nemt for folk at identificere f.eks. spoofet mail og phishing - “Er denne her mail nu også fra Netflix/Paypal eller ej”? og BIMI er derfor sat i verden udfra en tanke om at det skal være nemt visuelt at identificere oprindelsen af en mail - og BIMIs primære feature er visningen af et firma logo ved siden af mailen - en “avatar”. Derudover bygger den ovenpå DMARC (som igen kræver SPF og DKIM). Så man skal have en fuldt udrullet DMARC i form af p=quarantine eller p=reject - som giver dig spoofing beskyttelsen.
Hvordan virker BIMI:
0) Sørg for at have et ordentligt .svg logo
1) Du skal have SPF, DKIM og DMARC sat op og ikke noget med pct<100 i dine DMARC tags.
2) Du tilføjer en ekstra TXT DNS record og kalder den f.eks. default._bimi. Den skal indeholde 2 tags v=BIMI1 og l= (ikke et i men et lowercase L) https link til en svg fil af dit logo
3) Du kan også tilføje et 3. optional tag a= som er et link til trust authority - for at validere domæne ejerskabet
Det ser så sådan her ud:
og her er netop et af problemerne med BIMI - det bringer i den grad Certificate Authorities ind i varmen - for nogen skal jo lave en validering af, at du har ret til benytte lige præcis DET logo. Uden at være alt for ond, kan man sige at der ihvertfald har været et par sager hvor de har udstedt ceritifikater til de forkerte entities….Gmail har i deres trial teamet op med Entrust Datacard and DigiCert.
og hvad så med abuse-delen spørger du sikkert dig selv - Det er jo aldrig hørt før, at nogen opretter lookalike domæner og misbruger…eller noget ahem. Jeg havde en længere Twitter snak med Jim Fenton (RFC forfatter til rfc8689 - SMTP Require TLS option), som tørt påpegede, at det kunne da godt være, at jeg syntes at lookalike domæner var svære at håndtere - men hvad så med små subtile ændringer i et logo? For mens en domæne-ejer godt kan få taget et lookalike domæne ned eller få det listet som “untrustworthy”, hvad gør man så med et “ligner-næsten-logo” som er hosted i et helt andet retsområde?
og hvad så med Privacy? Vi kender kender alle til de små tracker-pixels. Vil visningen af logoet ikke give “inbox tracking”. Svaret er umiddelbart nej - tanken er man opsætter en proxy og en cache lokalt. Dvs. logo hentes kun til cachen og fra cachen til inboxen - som i “fetch once - show many”. Men den strategi virker typisk ikke for MUAs.
...men hvad så med alle IMAP klienterne (MUAs)? Det er helt tydeligt at BIMI primært er tænkt til Webmail løsninger, hvor det er nemmere at skræddersy visningen af $bigcorps logo. Lige pt. er det vist kun Thunderbird, der har noget support for visning af logoer, så der er lang vej endnu. Men faktum er at størstedelen af mail idag læses fra folks telefoner og en meget meget stor del af mail læses gennem IMAP klienter, så måske er næste skridt en standardiseret form for visning af avatars på tværs af MUAs? For der er helt sikkert en del “marketeers” der klapper i deres hænder over muligheden for bedre “brand-placement”.
Den anden side af dette handler om det rent menneskelige - hvad sker der hvis vi begynder at træne folk til at stole på logoet fremfor deres sunde fornuft i forhold til afsender adresser? Kig bare på hvor DÅRLIGE folk er til at gennemskue unicode confusables. Jeg tror ikke den problemstilling bliver nemmere med små nedskalerede logoer. Jeg er umiddelbart bange for, at vi får skabt flere problemer, end vi løser med BIMI. Essentielt er BIMI “exclusive-by-principle” - hele pointen er at kun få logo’er vises, men når man kommer fra et land der primært består af SMV’er så synes jeg umiddelbart at det er et trist udgangspunkt og jeg så rigtig gerne en anden løsningsmodel end BIMI.
Hvis jeg skal sige en pæn ting om BIMI, så må det være at det måske kan være medvirkende til at drive adaptions raten på DMARC opad og den kunne vitterligt godt bruge et boost op af.
Lige nu er BIMI ikke en standard. Rygtet vil vide at der er så betragtelig meget kontrovers om denne foreslåede standard at IETF har valgt IKKE at lægge den ind i deres IETF standards track eller aktiviteter - så derfor er den lige nu “kun” en industri-sammenslutning.
Man kan læse mere om BIMI på https://bimigroup.org/all-about-bimi/
Hvad tænker I om BIMI?
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
