首页 » 知识库 » 第二层:认证与身份 » VMC 验证标记证书与 BIMI — 品牌邮件标识的信任锚与商标验证

VMC 验证标记证书与 BIMI — 品牌邮件标识的信任锚与商标验证

一、BIMI 的信任问题:为什么需要 VMC

BIMI(Brand Indicators for Message Identification,RFC 8617)允许发送方在收件箱中显示品牌 Logo。但仅凭 DNS 记录指定 Logo URL 存在明显漏洞:攻击者可以在恶意域上配置 BIMI 记录,指向伪造的银行 Logo,绕过 SPF+DKIM+DMARC 的深度防御。

BIMI 标准设计者预见到了这个问题。RFC 8617 第 4 节规定:BIMI Logo 的信任锚点是一个 验证标记证书(Verified Mark Certificate, VMC)——发件域必须持有一张由 Mark Verifying Authority(MVA)颁发的 X.509 证书,证明该 Logo 对应一个合法注册的商标。

VMC 的引入将 BIMI 从「任何人都能声明」的弱协议升级为「商标权绑定身份」的信任体系。

参考阅读:本站已有 BIMI 品牌邮件标识配置 基础文章,涵盖 DNS 记录语法、DMARC 前置要求与 Logo 文件规范。本文聚焦 VMC 证书获取与信任链,可作为进阶补充。

二、BIMI 信任层级

BIMI 的信任模型分为三个层级:

层级BIMI 记录VMC 证书Logo 显示条件
自我声明(Self-asserted)✅ DNS BIMI 记录存在❌ 无 VMCGmail 不显示;部分 MUA 显示但标记为「未验证」
通用 VMC✅ 含 a= 指向 VMC✅ 证书有效Gmail 显示灰色 Logo 或缩略图
VMC + 商标验证✅ 含 a= 指向 VMC✅ 含注册商标 logoGmail 完整显示彩色 Logo + 蓝色认证勾

Gmail 在 2021 年推出的 BIMI 支持中,明确要求 VMC。这意味着没有 VMC 的 BIMI 记录在 Gmail 收件箱中不会有任何视觉效果——这是 Google 对 BIMI 信任模型的核心立场。

三、VMC 证书结构与颁发流程

3.1 VMC 的 X.509 扩展

VMC 是一张标准的 X.509 证书(RFC 5280),但包含特定的扩展字段来承载商标信息。其核心扩展包括:

  • Logotype 扩展(OID 1.3.6.1.5.5.7.1.12):嵌入 SVG Logo 的哈希值或 Logo 引用 URI,关联商标标识
  • Subject 字段:包含组织名(Organization),与商标注册信息对应
  • SAN(Subject Alternative Name):包含域名列表,与 BIMI 记录中的域匹配

VMC 证书链结构:

Mark Verifying Authority Root CA (MVA)
  └── MVA Intermediate CA
        └── VMC Leaf Certificate (发给 example.com)
              ├── Subject: O=Example Corp
              ├── SAN: example.com, mail.example.com
              ├── Logotype: SHA-256 哈希 (SVG Logo)
              └── Trademark Registration Number: US 1234567

3.2 Mark Verifying Authority 角色

截至 2026 年,AuthIndicators 工作组(BIMI 标准的管理组织)认可的 MVA 包括:

MVA状态备注
DigiCert✅ 活跃最大的 VMC 颁发商,支持在线验证流程
Entrust✅ 活跃企业级 VMC,适合大型组织批量采购

MVA 的职责:

  1. 验证申请方的商标注册信息(在国家/地区商标数据库中查证)
  2. 验证申请方对域名的控制权
  3. 验证 SVG Logo 与注册商标的一致性
  4. 颁发 VMC 证书并维护 CRL/OCSP 吊销服务

3.3 VMC 申请流程

典型的 VMC 申请流程(以 DigiCert 为例):

  1. 准备材料:商标注册证书扫描件(USPTO、EUIPO、CNIPA 等官方注册文件)、域名 WHOIS 信息、SVG Logo 文件
  2. 域名验证(DV):与标准 TLS 证书验证类似,通过 DNS TXT 记录或 HTTP 验证文件证明域名控制权
  3. 商标验证(MV):MVA 工作人员在商标数据库中核查注册信息的有效性、商标类别、Logo 一致性
  4. Logo 审核:确保 SVG 满足 BIMI 技术规范——纯矢量、无外部引用、无脚本、尺寸合适
  5. 证书签发:VMC 证书以 PEM 格式颁发,有效期通常为 1 年
  6. 部署:将 VMC 证书上传到 Web 服务器可访问的位置,并在 BIMI DNS 记录中通过 a= 标签指向证书 URL

完整 BIMI 记录示例(含 VMC):

# BIMI TXT 记录(default._bimi.example.com)
v=BIMI1; l=https://example.com/bimi/logo.svg; a=https://example.com/bimi/vmc.pem

四、商标验证的合规要求

4.1 哪些商标可以申请 VMC

VMC 要求申请方的商标必须满足以下条件:

  • 必须是已注册商标(registered mark),而非 pending 状态
  • 注册类别需覆盖与 Logo 用途相关的商品/服务(通常为 IC 009/035/038/042 等 ICT 类别)
  • 商标必须包含图形元素(文字商标 alone 不满足 Logo 要求)
  • 申请组织必须与商标注册人一致(或持有有效的商标使用许可授权)

目前 AuthIndicators 认可的主要商标注册体系:USPTO(美国)、EUIPO(欧盟)、UKIPO(英国)、JPO(日本)、CNIPA(中国)等主要经济体的商标局。

4.2 Logo 格式与内容限制

RFC 8617 第 5 节和 BIMI 实施指南对 Logo 文件有严格限制:

  • 格式:必须是 SVG Tiny 1.2 Portable/Secure 配置文件(SVG P/S),禁止 JavaScript、禁止外部引用、禁止 <foreignObject>
  • 尺寸:正方形比例(1:1),推荐以 256×256 或 512×512 viewBox 呈现
  • 颜色:允许纯色和渐变色;禁止动画
  • 内容:必须与 VMC 中验证的商标 Logo 一致——不允许在 Logo 中添加额外元素或修改比例

SVG P/S 转码示例:

# 将普通 SVG 转为 BIMI 兼容格式
svgo -i original-logo.svg -o bimi-logo.svg   --disable=removeViewBox   --enable=removeScriptElement   --enable=removeUnknownsAndDefaults

# 验证 BIMI 合规性
curl -s https://bimigroup.org/tools/svg-validator/   -F "svgfile=@bimi-logo.svg"

五、常见部署故障与调试

5.1 Gmail 不显示 Logo

最常见故障,排查顺序:

  1. DMARC 策略检查:BIMI 的 DMARC 前置要求是 p=quarantinep=reject,而非 p=none
  2. VMC URL 可访问性curl -I https://example.com/bimi/vmc.pem 应返回 200 OK
  3. VMC 证书链完整性openssl verify -CAfile mva-root.pem vmc.pem 应通过验证
  4. VMC 有效期:检查 openssl x509 -in vmc.pem -noout -dates
  5. VMC SAN 匹配:证书的 SAN 必须包含发件域
  6. SVG 格式合规:通过 BIMI SVG Validator 检查

Gmail 的 BIMI 生效周期较长——新部署后可能需要 2~4 周才能在 Gmail 收件箱中显示,因为 Google 需要进行额外的品牌信誉评估。

5.2 常见 DNS 配置错误

# 错误 1:BIMI 记录放错位置
# 正确位置:default._bimi.example.com
# 错误位置:_bimi.example.com(缺少 selector)

# 错误 2:VMC URL 不可达
# a= 指向的 URL 必须使用 HTTPS 且证书有效
# 自签名证书不可接受

# 错误 3:v=BIMI1 拼写
# 正确:v=BIMI1(大写 I,数字 1)
# 错误:v=BIMIl(小写 L)、v=BIMI 1(空格)

5.3 多域品牌场景

一家公司拥有多个品牌域(如 parent.com 和 child-brand.com)时,VMC 的 SAN 字段可以使用通配符或列出多个域名。不同品牌的 Logo 可能不同——需要为每个品牌分别申请 VMC。

昆仑邮件系统在品牌邮件服务中建议客户先建立完整的 DMARC 基线(至少 6 个月 p=none 监控 + 1 个月 p=quarantine),再申请 VMC 启用 BIMI,避免部署过程中的 DMARC 异常导致 BIMI 显示中断。

六、总结

VMC 是 BIMI 信任体系的核心:它将可验证的商标权利与 DNS 基础设施的安全性结合起来,让邮件客户端的品牌显示不只是一个「漂亮的图标」,而是一个经过法律和密码学双重验证的身份声明。

BIMI+VMC 的部署路径:

  1. 完成 DMARC p=quarantine/reject(6~12 个月渐进部署)
  2. 取得注册商标(图形 Logo)
  3. 向 DigiCert 或 Entrust 申请 VMC
  4. 将 SVG Logo 和 VMC 证书部署到公开 HTTPS 地址
  5. 添加 default._bimi DNS TXT 记录
  6. 监控 BIMI 显示效果(使用 Google Postmaster Tools)

参考文献:
[1] IETF RFC 8617 — The Authenticated Received Chain (ARC) Protocol, July 2019
[2] IETF RFC 8617 — Brand Indicators for Message Identification (BIMI), May 2021
[3] IETF RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC), March 2015
[4] IETF RFC 7208 — Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, April 2014
[5] NIST SP 800-177 Rev.1 — Trustworthy Email, February 2019
[6] GB/T 30282-2013 — 信息安全技术 反垃圾邮件产品技术要求和测试评价方法
[7] AuthIndicators Working Group — BIMI Implementation Guide, https://bimigroup.org
[8] DigiCert VMC — https://www.digicert.com/verified-mark-certificate