Joost Gadellaa
Ik ben technisch productmanager bij SURF waar ik diverse… Meer over Joost Gadellaa
Wat is BIMI
BIMI (Brand Indicators for Message Identification) is een standaard voor e-mailverificatie die helpt bij het creëren van vertrouwen bij emailontvangers. Het werkt als een soort ID-kaart die naast de naam van de afzender wordt weergegeven, zodat ontvangers weten dat de email afkomstig is van een geverifieerd bedrijf. Het idee is dat zichtbaarheid en vertrouwen geeft, omdat vinkjes en logo's helpen om echte emails van een organisatie te identificeren.
Hoe BIMI technisch werkt:
- Zoals elke goede emailstandaard werk BIMI met een DNS-record: een TXT-record in de DNS-zone van je instelling. Dit record bevat informatie over het logo van het bedrijf.
- BIMI bouwt daarbij voort op DMARC. Met DMARC geef je in je DNS aan welke servers te vertrouwen zijn en namens jouw domein mogen verzenden en hoe de ontvanger dit moet verifiëren. BIMI werkt alleen als de DMARC van een verzender gecontroleerd is.
- Vervolgens heb je een Verified Mark Certificate (VMC) nodig. Dit is een certificaat wat laat zien dat jouw eigendom van jouw merk/logo geverifieerd is door een derde partij. Het extra bewijs is een optioneel deel van de standaard, maar zoals dat wel vaker gaat: Google vereist het (voor Gmail) dus het is de-facto verplicht.
- Wanneer aan alle vereisten is voldaan laat de mailclient van de ontvanger een vinkje zien bij de ontvangen mail. Als je ook een VMC hebt wordt je logo ook weergegeven.
Zie voor meer uitleg het blog van Mark Kruisman of PowerDMARC.
Security by Sticker
Als we de context iets breder trekken, zien we een bekend verschijnsel in informatiebeveiliging: aanvullende maatregelen die alleen effectief zijn als iedereen ze toepast én die door eindgebruikers geverifieerd moeten worden. Het interessante is dat je met zo’n maatregel vooral kunt aantonen wanneer iets wél veilig is, maar niet wanneer iets onveilig is. Dat is ook het geval bij BIMI. Je kunt niet zeggen: "E-mails zonder sticker zijn onveilig." Het enige wat je kunt zeggen is: "E-mails mét sticker zijn in ieder geval niet onveilig." Dat betekent dat gebruikers proactief moeten opmerken wanneer een e-mail geen sticker heeft, terwijl het ontbreken daarvan niet automatisch betekent dat de e-mail onveilig is. Pas als BIMI wereldwijd volledig wordt geïmplementeerd, kun je daar iets over concluderen.
En ja, als je BIMI voor je instellingsdomein implementeert, kan je proberen gebruikers te trainen om mail van jouw instelling alleen te vertrouwen als het de glittersticker heeft, maar we zijn al aardig ver van een duidelijk en consistent advies afgedwaald...
Als je nog verder uitzoomt wordt het nog vreemder: we doen nu als of een controle door eindgebruikers een handige manier is veiligheid te creeëren. Onderliggende en oudere standaard DMARC wordt door de mailserver gecontroleerd. Als een verzender zijn DMARC niet op orde heeft belandt de mail in de SPAM of wordt deze door de ontvangende server weggegooid. Waarom zou je een extra sticker toevoegen die door de gebruiker gecontroleerd moet worden, terwijl die niks toevoegt aan de DMARC-validatie van de mailserver?
Naast dat BIMI een extra cognitieve belasting vormt en technisch overbodig lijkt, introduceert het nog een vertrouwensaspect: het systeem vereist dat een certificaatautoriteit valideert of een logo bij een domein hoort. Je hangt je vertrouwensstelsel dus op aan commerciële partijen. Bovendien: wie bepaalt of SURF U.A., SURF B.V. of SURFcert B.V. het recht heeft om het SURF-logo te voeren? Zelfs bij grote CA’s is het soms een kwestie van 'vanaf het juiste mailadres lief vragen' om je logo gevalideerd te krijgen. Dit creëert een foutgevoelig systeem.
Wat is het wel?
BIMI is best een aantal dingen wél: Een manier om DMARC-adoptie verder te stimuleren in je organisatie; iets leuks voor de marketing- en communicatieafdeling om hun nieuwsbrieven te voorzien van een kek logo; een technisch doordachte manier om je logo naast het verzendadres in je mail te krijgen. Maar het is géén beveiligingsmaatregel. Het werken aan adoptie van DMARC is dat natuurlijk wel en het is mooi om te zien dat DMARC hier als vereiste wordt aangenomen. Voor het implementeren van DMARC is het bovendien vaak nodig om de uitgaande email-flows beter te organiseren (gebruik je veel subdomeinen? wie mogen er allemaal namens onze instelling mailen?) en te controleren. Ook dat is heel nuttig.
Kan je BIMI als wortel gebruiken om de organisatie mee te krijgen om aan de slag te gaan met het versimpelen van je emailstromen? Doen! Voor nog geen tweeduizend euro per jaar, straalt je mail extra vertrouwen uit. Daar zit wel een belangrijke crux: BIMI en de benodigde VM-certificaten zijn een verdienmodel voor Certificaatautoriteiten. TLS certificaten zijn mede door de lage kosten van Let’s Encrypt en andere automation-first CA's (en SURFcertificaten natuurlijk) een commodity geworden waar geen hoge marge meer op zit, dus zoeken ze nieuwe verdienmodellen.
In plaats van ons weer te verkijken op de nieuwste glittersticker die wordt aangeprezen door een leverancier die daar zelf belang bij heeft kunnen we beter serieus werk maken van solide standaarden als SPF, DKIM en DMARC die hun effectiviteit al lang hebben bewezen. Open standaarden waar niemand rijk van wordt zijn minder sexy, maar des te belangrijker.
Oh, en is het dan niet een goed idee om onze emails cryptografisch te ondertekenen en te versleutelen? Jazeker! Daarover later meer.
0 Praat mee