Framtiden för e-post?

Det händer spännande saker inom e-post, som innebär möjligheter ur såväl marknadsförings- som säkerhetsperspektiv. Och det är faktiskt något så (vad vissa människor tror) ”tråkigt” som ett någorlunda nytt DNS-record!

BIMI, som står för ”Brand Indicators for Message Identification”, gör det möjligt för ett verifierat varumärke och varumärkesägare att använda sin logotyp för att hjälpa e-postmottagaren att identifiera vad som är ett legitimt vs bedrägligt meddelande.

BIMI gör autentiska e-postmeddelanden lätta att känna igen och drar nytta av de positiva kopplingar som konsumenter har med ett varumärke och logotyp. Kopplingar som marknadsförare har arbetat hårt för att införa hos sina kunder. Enligt studier av Verizon, kan det öka öppningsfrekvensen av nyhetsbrev med närmare 10%.

Enkelt uttryckt gör det att dina e-postmeddelanden sticker ut, samtidigt som det är byggt som ett ganska brett initiativ för att skydda användare från bedrägerier.

BIMI:s historia

BIMI har funnits i ett par år och bakom initiativet hittar du några riktiga tungviktare, som Verizon (med e-postklienter som Yahoo / AOL) och Google (som driver gmail och gick med BIMI-programmet 2020).

BIMI skapades på grund av den extrema komplexiteten att länka ett varumärkes logotyp till ett e-postmeddelande. Det finns hundratusentals kombinationer av varumärke – logotyp och behovet av ett standardiserat alternativ blev allt tydligare. Utan ett standardiserat sätt att upptäcka och publicera varje varumärkes föredragna logotyp, krävs det att varje email-leverantör eller e-postgränssnitt som vill visa logotyper, själva behöver investera och skapa ett unikt system för logotyphantering och visning. Detta resulterar i underhållskrävande system som ofta skulle lämna varumärken frustrerade över logotyperna som är associerade med deras e-post. Och om de görs felaktigt, kan det missbrukas av bedragare. Därför utvecklades BIMI som ett sätt att standardisera logotypvisning.

 

Hur fungerar BIMI?

BIMI tillåter organisationer att nyttja det hårda arbete de har lagt ned för att implementera DMARC, en säkerhetsfunktion som förhindrar e-postförfalskning och säkerställer att endast auktoriserade avsändare använder domänen i fråga. Detta görs genom att domänägare (eller varumärken) publicerar BIMI-posten i domänens DNS.

Recordet i fråga är faktiskt inte en alltför komplicerad historia, det är en TXT-post som är standard. TXT-posten innehåller helt enkelt en URL som leder till en SVG-fil med din logotyp. Du som organisation kommer att publicera en BIMI-post som innehåller dessa webbadresser i din DNS.

Om BIMI-posten existerar kräver standarden att stödjande e-postklienter kollar om dina domäners DNS innehåller en BIMI-post. I så fall kommer klienten att kontrollera den avsändande domänens DMARC-policy och säkerställa att den uppfyller kraven. Om dessa kontroller lyckas, använder e-postklienten logotypen från webbadressen i BIMI-posten för att fylla i e-postmeddelandet med en logotyp.

Så istället för detta:

får du detta:

 

Den knepiga delen här är DMARC, och implementeringskomplexiteten hos DMARC varierar mycket från organisation till organisation. Om du inte har DMARC ännu, är det där arbetsbelastningen för detta framförallt kommer att ligga.

Vad är DMARC?

DMARC, eller Domain-Based Message Authentication Reporting and Conformance är en e-postautentiseringspolicy och rapporteringsprotokoll. DMARC försvarar mot obehörig användning av domäner genom att förhindra direkt imitation av domänen i e-post. Det skyddar varumärken genom att säkerställa att deltagande brevlådor endast får e-post som faktiskt skickas av eller på uppdrag av en domän. Den använder SPF- och DKIM-poster för detta.

Det kan finnas flera auktoriserade avsändare från din domän. Marknadsförare använder vanligtvis till exempel Sendgrid och de måste verifieras i din DNS i SPF-posten.

När du implementerar en DMARC-post har du tre policyer att välja mellan. Dessa policyer informerar mottagarservern om hur man behandlar e-post som skickas från dig som inte är DMARC-kompatibel.

  • None: Behandla all e-post som skickas från din domän som den skulle vara utan någon DMARC-validering
  • Qurantine: Mottagarservern kan acceptera e-post, men ska placera den någon annanstans än mottagarens inkorg (vanligtvis skräppostmappen)
  • Reject: Avvisa meddelandet helt.

För att BIMI ska fungera måste din policy ställas in som Qurantine eller Reject.

Under ganska lång tid var frågan hur BIMI följaktligen kunde verifiera att logotypen som användes faktiskt var tillhörde företaget i fråga? Det är här VMC kommer in i bilden.

Vad är VMC?

VMC eller “Verified Mark Certificate” är, som namnet antyder, säkerhetsfunktion som validerar och bekräftar att en organisation med rätta använder en logotyp.

Den kombinerar Tech och Legal för att skapa ett säkert sätt för varumärken att kommunicera med sina konsumenter.

Det är ett certifikat som genereras av en auktoriserad certifikatutfärdare, likt Digicert och Entrust. Kraven för att få ett utfärdat är att du har ett korrekt registrerat figurativt varumärke, med en ansluten myndighet för immateriella rättigheter, likt EUIPO, som ägs av samma organisation som domänen och är en exakt matchning av logotypen som laddas upp till din BIMI.

Inte alla e-postmottagare behöver det för att använda BIMI-posten och visa logotypen, men jag misstänker att det kommer att bli en standard för alla e-postleverantörer / programvaror som bryr sig om sina konsumenter och vill säkerställa deras säkerhet vid användning av deras tjänst. Den viktigaste av dessa e-postklienter, Gmail, implementerar och utvecklar för närvarande stöd för både BIMI och VMC. De kör en sluten pilot.

Något jag också bör nämna här är att Microsoft kör sin egen mekanism för att visa varumärkeslogotyper och inte (åtminstone för närvarande) använder BIMI-standarden.

Det finns fortfarande många frågor kring BIMI som återstår att få klarhet i. Till exempel:

  • Hur kommer mottagandet av marknaden att se ut?
    Standarden kräver ett visst mottagande för att vara effektiv. Om den genomsnittliga användaren inte vet varför en logotyp visas, kommer det inte att påverka deras uppfattning om äkthet eller inte. Ju fler varumärken som använder BIMI, desto vanligare kommer det att bli.
  • Kommer VMC att bli ett krav från alla e-postklienter som är involverade i initiativet, för att visa en varumärkeslogotyp?
    Personligen skulle jag föredra det eftersom olika leverantörer som använder olika krav blir förvirrande för varumärken. VMC verkar vara den säkraste vägen istället för att förlita sig på en förtroendemodell. VMC kräver också ett registrerat varumärke, vilket åtminstone gör det mer troligt att e-postmeddelandet är giltigt.
  • Kommer Microsoft att skrota sin egen mekanism och gå med i BIMI?
    Microsoft driver en av de största e-postklienterna, Outlook – det återstår att se om de ser nyttan av att gå med i BIMI-standarden eller kommer att förbli trogen mot sin egen process. Det är definitivt klumpigare för varumärken att hålla koll på alla olika standarder.

Vad vi dock vet är att i e-postvärlden har högre säkerhet stått på agendan ett tag och DMARC, såväl som nu potentiellt BIMI, kommer att vara vanligt i framtiden. Som ett exempel krävs nu att myndigheter i Danmark har DMARC implementerat och fler och fler varumärken implementerar DMARC varje dag.

Min rekommendation är att granska implementeringen av DMARC för din organisation och se till att du har rätt varumärkesskydd på plats för ditt företag idag.

Tack till dig som har läst så långt! Kontakta oss gärna på hej@dotkeeper.com om du har några frågor!