BIMIとは？ 導入のメリットや具体的な設定方法を解説

なりすましやフィッシングなどの迷惑メールによる被害は後を絶たず、受信者がメールを信用できない傾向が強まっています。しかし送信したメールを顧客に読んでもらえなければ、企業はビジネスチャンスを逃すことになります。そこで注目されているのが「BIMI」という新しいメールの認証規格です。BIMIを導入すればメールに企業のロゴマークを付加できるため、信頼性を高めることができます。現在はまだ黎明期にありますが、今後標準的な認証規格として浸透していくことが予想される注目の技術です。本記事では、BIMIの概要や仕組み、設定方法について解説します。
※本記事は 2023/10/17に最新の情報をもとに更新しました。

BIMIとは

BIMIとは「Brand Indicators for Message Identification」の略で、BIMIに対応しているメールクライアント（メールソフト）の受信トレイにおいて、管理されたブランドロゴを表示できる新しいメール仕様です。受信者はロゴを確認することにより、なりすましではない正規の送信元から送信されたメールであることを視覚的に認識できます。

BIMIが登場する以前から、なりすましメール対策としては以下の送信ドメイン認証技術が推奨されてきました。

SPF（Sender Policy Framework）

IPアドレスを利用して、メールの送信元が詐称されていないかどうかを確認する技術です。メール送信に利用するサーバーのIPアドレスをDNSに「SPFレコード」として事前に登録しておき、受信側はメール受信時にSPFレコードと送信元サーバーのIPアドレスを照合することで、なりすましではないか判断します。

SPFレコードの詳しい解説・設定方法については、こちらの記事をご覧ください。
SPFレコードの書き方とは？記述例を総まとめ | ベアメールブログ

DKIM（DomainKeys Identified Mail）

電子署名を利用して、メール送信元が詐称されていないか、またメールのヘッダ情報や本文が改竄されていないか確認する技術です。送信側が送信するメールに電子署名を付与し、DNSに公開鍵である「DKIMレコード」を登録します。受信側はそれらをメール受信時に検証することでなりすましやメールの改ざんを検知します。

DKIMについて詳しくはこちらの記事をご覧ください。
DKIMとは？ 仕組み・メリット・設定の方法まで解説 | ベアメールブログ

DMARC（Domain-based Message Authentication, Reporting & Conformance）

で認証したドメインと、メールに表示される送信者アドレス（ヘッダFrom）のドメインとの一致を確認することでなりすましを防ぐ技術です。また、認証に失敗したメールの取り扱いをドメインの所有者がコントロールすることもできます。DMARCはDNSに「DMARCレコード」として認証失敗時のメールの取り扱いポリシーを宣言しておきます。受信側はこのDMARCポリシーを参照して、受信メールをどう扱うか判断します。

DMARCについて詳しくはこちらの記事をご覧ください。
DMARCとは？ SPF・DKIMとの関係と仕組み、導入方法まで解説 | ベアメールブログ

BIMIの利用はDMARCの導入が前提となっています。BIMIを導入することで、これらの送信ドメイン認証技術で認証されたメールであることを、よりわかりやすく受信者へ提示し、信頼性を高める効果が期待できます。

BIMIの仕組み

上記で紹介した送信ドメイン認証技術と同様、BIMIも送信元ドメインのDNSにTXTレコード（BIMIレコード）を登録します。

メールが届くと受信サーバはまず送信ドメイン認証を行います。DMARCの認証が成功し、かつDMARCのポリシーが「quarantine」あるいは「reject」に設定されている場合にBIMIレコードを参照します。BIMIレコードが見つかればそこから企業のロゴの場所を特定し、その画像を受信トレイ上で表示するという仕組みです。

BIMIに対応しているメールサービス

現在BIMIに対応している、もしくは対応検討中のメールサービスには以下のようなものがあります。日本で普及しているサービスとしては現状Gmailぐらいしかありませんが、AppleもBIMIへの対応を表明したことから、ほかのサービスも今後追随していくことが予想されます。

BIMIに対応

• Gmail
• Apple Mail
• Aol
• Fastmail

BIMIの対応検討中

• Yahoo! メール
• BT mail
• COMCAST

BIMIに非対応

• Microsoft Outlook
• Microsoft Office365

参考：BIMI「BIMI Support by Mailbox Provider」 https://bimigroup.org/bimi-infographic/ （2022/9/2 確認）

Gmailでは、2023年5月にBIMI対応を拡張し、BIMIを採用している送信者にブルーのチェックマークアイコンが表示されるようになりました。これにより、BIMIを導入しているドメインの信頼性がより強化されました。

画像引用元：https://workspaceupdates.googleblog.com/2023/05/expanding-gmail-security-BIMI.html

BIMIのメリット

BIMIを導入することによって得られる具体的なメリットについて解説します。

ブランド認知が高まる

受信トレイ内にロゴを表示させることで、ブランドの視認性やエンゲージメントを向上させる効果が期待できます。まだBIMIが普及していない今のうちからBIMIに対応してロゴを表示させることで、顧客の受信トレイの中で視覚的に自社のメールを目立たせることが可能です。ほかの企業との差別化を図るとともに、安全性を保証してブランドイメージを向上できます。

メールの開封率が向上する

受信者は届いたメールに表示されるロゴを見て、なりすましではないことを瞬時に判断できるようになるため、安心してメールを開封できることから閲覧率の向上も期待できます。BIMIグループによると、Yahoo!のパイロットプログラムではBIMIを利用してロゴを表示したメールに対するエンゲージメントが高まり、平均開封率が10％上昇したという結果が報告されています。

参考：MarTech「Everything marketers need to know about BIMI: The latest email standard」https://martech.org/everything-marketers-need-to-know-about-bimi-the-latest-email-standard/（2022/9/2 確認）

なりすまし被害の予防

なりすましメールの被害は消費者にとってもちろん深刻ですが、企業にとっても自社のブランドイメージの毀損につながります。BIMIの利用はSPF・DKIM・DMARCの導入が前提となるため、必然的に送信ドメイン認証が強化され、なりすまし被害を予防できます。ブランドロゴの詐称は困難なため、BIMIに対応することは顧客と自社ブランドを守ることにつながるでしょう。

メールの到達率を高める

BIMIはメールを宛先へ到達させることを保証するものではありませんが、受信側のメールサービスプロバイダがBIMIに対応している場合、追加の認証レイヤーの役割を果たすため到達率が向上します。また、ロゴが表示されることによって正規のメールであることを受信者が認識しやすくなるため、送信元不明の迷惑メールとして報告されたり破棄されたりすることが少なくなります。

BIMIの設定方法

BIMIを設定するための手順は以下のとおりです。

（1）SPF・DKIM・DMARCを設定する

　　（1-1）SPFまたはDKIMを導入する
　　（1-2）DMARCを設定する
　　（1-3）DMARCのポリシーを「quarantine」もしくは「reject」にする

（2）ロゴをSVG形式で作成する

　　（2-1）ロゴのSVGファイルを作成する
　　（2-2）SVGファイルを公開サーバーにアップロードする

（3）ロゴの証明書（VMC）を取得する

　　（3-1）ブランドのロゴを商標登録する
　　（3-2）認証局でVMCを取得する
　　（3-3）VMCのPEMファイルを公開サーバーにアップロードする

（4）BIMIレコードをDNSに追加する

（5）BIMIレコードを確認する

①SPF・DKIM・DMARCを設定する

まずはBIMIの前提条件となるSPF・DKIM・DMARCの設定を完了させます。BIMIを利用するためには、DMARCに対応しており、かつポリシーが「quarantine」もしくは「reject」にする必要があるからです。ポリシーが「none」の状態や、DMARCポリシーの適用割合が100%になっていない場合はBIMIを使用できません。

DMARCのポリシーには「none（何もしない）」「quarantine（隔離する）」「reject（拒否する）の3種類が存在していますが、いきなり「quarantine」や「reject」に設定すると、自社の正規のメールまで隔離／拒否されてしまう恐れもあります。自社の正規のメールでも、メールの送信経路は多様化しているため、設定の不備などにより認証に失敗してしまう場合もあるからです。まずは「none」でしばらく運用し、DMARCレポートで自社の送信メールが認証に失敗していないか確認した上で切り替えることが推奨されます。

DMARCの認証に合格するためにはSPFとDKIMの両方を導入する必要はありませんが、SPF認証＋SPFアライメントもしくはDKIM認証＋DKIMアライメントのいずれかに合格する必要があります。

DMARC認証とアライメントについて詳しくは以下の記事をご参照ください。
DMARCのアライメントとは？ DMARC認証をクリアするためのポイント | ベアメールブログ

②ロゴをSVG形式で作成する

ロゴ画像は正方形で作成しますが、実際のメールボックスの表示において丸く切り抜かれて表示される可能性があるので、グラフィックは中央に配置することが推奨されています。また、表示時の不具合を防ぐため、背景を透明にすることやグラデーションを使用することは推奨されていません。

BIMIで表示させるロゴは、SVG（Scalable Vector Graphics）形式となります。特に後述のVMCを取得するためには、「SVG Tiny PS」と呼ばれる「SVG Portable/Secure」（SVG P/S）というプロファイルに沿った形式である必要があります。SVG P/SはWorld Wide Web Consortium（W3C）によって標準化された「SVG Tiny 1.2」のプロファイルよりも厳密な設定となっています。

現在SVG P/Sのプロファイルでエクスポートできるツールはないため、一般的には以下のステップで作成する必要があります。

（1）Adobe Illustratorで「SVG Tiny 1.2」のプロファイルでSVGファイルをエクスポートする
（2）任意のコードエディターでSVGファイルを開く
（3）SVGファイルのXMLコードで以下の調整を行う

BIMIに使用するSVG Tiny PSに準拠するため必要な設定

・「baseProfile」属性を「tiny-ps」に設定
・「version」属性を「1.2」に設定
・「x=:”0px”」「y=:”0px”」を削除
・「overflow=”visible”」を削除
・＜title＞要素として会社名／ブランド名を追加する
・＜desc＞（description＝説明）要素は必須ではないが、アクセシビリティの面から含むことが望ましい
・改行コードはLF文字のみを使用する ※1
・外部リンクや参照は含まない
・スクリプトやアニメーションなどのインタラクティブな要素は含まない

※1：コードエディターによっては改行が自動的にCF・LFとなるので注意が必要
参考：digicert「[認証マーク証明書(VMC)] ロゴのキャリッジリターン（改行コード）を正しく設定する方法 (CR LF から LFへ)」https://knowledge.digicert.com/ja/jp/solution/SOT0041.html（2022/9/2 確認）

参考：BIMI「Creating BIMI SVG Logo Files」https://bimigroup.org/creating-bimi-svg-logo-files/ （2022/9/2 確認）

また、BIMIグループはGitHubでSVG Tiny 1.2のファイルをSVG Tiny PSに変換するためのツールを公開しているため、それを利用することもできるでしょう。
参考：BIMI「SVG Conversion Tools Released」https://bimigroup.org/svg-conversion-tools-released/（2022/9/2 確認）

作成したSVGファイルは公開Webサーバーにアップロードします。この時、SVGファイルのURLはhttpsでアクセスできる必要があります。このURLは後の設定で必要なためメモしておきます。

③ロゴの証明書（VMC）を取得する（※オプション）

※このステップは推奨されますが、オプションであり必須ではありません。

VMCの発行を申請します。VMC（Verified Mark Certificate）とは、認証局（DigiCertまたはEntrust）が発行するデジタル証明書の一種で、ロゴの所有権を証明する認証マーク証明書のことです。VMC証明書には申請に使われたロゴデータがハッシュ化されて埋め込まれるため、メールクライアントはBIMIレコードで示されるロゴファイルと証明書とを検証し、受信ボックス上で指定されたロゴを表示します。

申請時の注意点として、VMCを取得するにはロゴが商標登録されている必要があります。商標登録をしていない場合、申請してから完了するまでに半年〜10ヶ月程度かかるため、BIMIの導入を検討している場合できるだけ早く対応しましょう。

またVMCの取得費用は、認証局や導入するドメインとロゴの個数に応じて変わりますが、年間十数万〜数十万ほどかかります。VMCにもSSL証明書などと同様に期限があり、1年ごとに更新が必要となります。

VMCの申請が承認されるとPEM形式の証明書ファイルが送られてくるので、公開Webサーバへアップロードします。VMCのURLも同様にhttpsでアクセスできる必要があります。アップロード後の設定に利用するためURLはメモしておきましょう。

④BIMIレコードをDNSに追加する

BIMIレコードをDNSで公開します。BIMIレコードはTXTレコードとして記述し、書式は以下のようになります。

default._bimi.[ドメイン] IN TXT “v=BIMI1; l=[ロゴのURL]; a=[VMCのURL]”

パラメータについて

パラメータ	内容
v	バージョン番号。現在は「BIMI1」で固定
l	ロゴファイル（SVG）のURL
a	VMCファイル（PEM）のURL

※VMCの取得は必須ではないため、現在「a」のパラメータもオプションとなっています。

例として、送信者のドメインがexample.comである場合、DNSに追加するBIMIレコードは以下のようになります。

default._bimi.example.jp IN TXT “v=BIMI1; l=https://example.com/bimi/logo.svg; a=https://example.com/bimi/vmc.pem”

「_bimi」は固定で、「default」はセレクタです。まだ仕様検討中の段階ではありますが、このセレクタを指定することによって、同じドメイン名に対して複数のBIMIレコードを定義できます。つまり以下のような形式になります。

[セレクタ]._bimi.[ドメイン]

セレクタを利用する場合、送信メールのヘッダに「BIMI-Selector:ヘッダ」を追加し、指定します。使用しない場合はdefaultが自動的に割り当てられるため、手動で対応する必要はありません。

BIMI-Selector: v=BIMI1; s=[セレクタ]

⑤BIMIレコードを確認する

BIMIレコードをDNSに追加したら、正しく設定できているかツールなどを使用して確認するのが良いでしょう。例えば、BIMIグループが提供しているチェックツール「BIMI Inspector」などが利用できます。BIMIレコードのジェネレーターも合わせて提供しているので、それを利用してレコードを作成することもお勧めです。

BIMI「BIMI Inspector」https://bimigroup.org/bimi-generator/ （2022/9/2 確認）

まとめ

BIMIはまだ新しいメール仕様ですが、昨今大きな問題となっているなりすましメールの対策ともなるため、今後対応するメールサービスは拡大していくと予想されます。BIMIを導入することで、顧客と自社のブランドをなりすまし被害から守ることができ、ブランド認知やメールに対するエンゲージメントの向上も期待できるため、大きなメリットが得られます。まだ普及していない今のうちから、BIMIへの対応を検討してみてはいかがでしょうか。