BIMI Standard

Carsten Rosenberg cr at ncxs.de
Do Okt 20 16:08:38 CEST 2022


Moin,

wir evaluieren BIMI gerade ein wenig. Bisher mit geteilter Freude.

Die eigentliche Idee mit Logo ist nett, zusammen mit DMARC und DNSSEC 
wäre es auch ein Gewinn, wenn denn die URL zu dem Logo fest mit der 
Domain im RFC verdrahtet wäre.

Aber so lange so etwas möglich ist, ist es eine Einladung fürs Phishing:

https://www.msxfaq.de/spam/bimi.htm#risiko_faelschung2

Jedenfalls ohne VMC. Mit VMC könnte es für größere Unternehmen sinnvoll 
sein, vor allem aus Marketing Sicht.

Um das VMC zu bekommen braucht man erstmal n Trademark auf das Logo, ne 
extended validation und ne manuelle Verifikation. Damit wird das für 
viele zu uninteressant.

Aus der Praxis: Es macht noch keiner richtig!
Einige große wie Paypal, Instagram ... etc pp nutzen es schon, aber 
erfolgreich validiert wurde noch keiner.
(Edit - gerade entdeckt: amazon.de macht es vernünftig)

Rspamd kann seid einer Weile BIMI mit VMC.

Paypal hat ein abgelaufenes Zertifikat, Instagram nutzt den falschen 
Zertifikatstyp...

Und eine der beiden möglichen CAs baut scheinbar nur auf den falschen 
Zertifikatstyp. Dort wird bei denen sogar das Logo direkt mit hinterlegt.

Es sind übrigens auch schon Mails mit dem BIMI-Location und 
BIMI-Indicator Header unterwegs bei deren Domain nix im DNS steht. 
Vermutlich setzen sie darauf, dass das Logo so einfach angezeigt wird.
Diese Header sollte man auf eingehend raus löschen.


Also wenn die VMC's irgendwann vernünftig sind, dürfen das die Großen 
gern benutzten. Vielleicht bringts sogar ein bisschen gegen Phishing.

Viele Grüße

Carsten


On 20.10.22 08:09, Florian Vierke via Postfixbuch-users wrote:
> Hi Daniel,
> 
> Das VMC Zertifikat verifiziert ja genau die Firma, dazugehörige Domain 
> und ein Logo, welches eingetragene Bildmarke im Patentamt oder 
> vergleichbar sein muss. In Kombination mit aligned DKIM macht das schon 
> Sinn und die Missbrauchsszenarien sind limitiert.
> 
> Für kleinere Sender ist BIMI finanziell unattraktiv. Yahoo macht es ohne 
> Zertifikat, weil sie selber genug Reputationsdaten über die Domains 
> haben, um Ham von Spam zu unterscheiden.
> 
> Mein Standpunkt zu BIMI ist: wenn es dazu dient, Versender für DKIM, 
> Alignment und DMARC zu begeistern: super! Ich würde es in der 
> kostenlosen Variante auf jeden Fall einrichten, wenn es ein Logo gibt 
> (ohne VMC) und schauen, ob sich die Preise an der Stelle noch etwas 
> entwickeln in nächster Zeit. Dann ist man technisch aber schon mal auf 
> einem guten Stand!
> 
> VG Florian
> 
> Von meinem iPhone gesendet
> 
>> Am 20.10.2022 um 00:28 schrieb Daniel via Postfixbuch-users 
>> <postfixbuch-users at listen.jpberlin.de>:
>>
>> Moin,
>>
>> was haltet ihr so vom BIMI Standard? Würdet ihr es integrieren im System?
>>
>> Mit dem Standard kann man ein Logo beim Empfänger im Postfach anzeigen 
>> lassen über ein DNS Eintrag, mal sehr vereinfacht gesagt.
>>
>> Leider erwarten Google und co., dass ganze auch Verifiziert ist damit 
>> Logo angezeigt wird.
>>
>> Nur als kleiner Anbieter wäre ich nicht bereit das Logo als Marke 
>> Eintragen zu lassen und dann auch noch 1000-1500€/Jahr auszugeben für 
>> ein Zertifikat.
>>
>> Ich bin schon froh dass wir was dieses angeht mit Lets Encrypt weiter 
>> sind und jeder nutzen kann ohne extra Kosten.
>>
>> Paar Infos zu Bimi wurden hier https://www.msxfaq.de/spam/bimi.htm 
>> <https://www.msxfaq.de/spam/bimi.htm> zusammengestellt.
>>
>> Ganze soll sogar inzwischen auf dem iPhone mit iOS 16 funktionieren, 
>> nur habe ich dort bisher keine Logos gesehen von Amazon und co.
>>
>> Verleiten solche Kosten nicht auch Firmen dazu eher Werbung als Logo 
>> auszuliefern?
>>
>> Auch schützt ja SPF und DMARC nicht vor ähnlichen Domain Namen. dhl.de 
>> oder dlh.de sind ähnlich, aber halt nicht gleiche. Die einen sind gelb 
>> und liefern Pakete die andere fliegen dich in den Urlaub. Bösewichte 
>> würden wohl Tippfehler und ähnliches ausnutzen zum täuschen.
>>
>> Gruß Daniel


Mehr Informationen über die Mailingliste Postfixbuch-users