您需要了解的有关 BIMI 和经过验证的标志证书、它们如何提高品牌信任度以及哪些公司采用它们的所有信息。

A range of brands is taking advantage of the Brand Indicators for Message Identification standard, combined with trade mark validation through validated mark certificates. In this guest analysis,  杰里米·斯佩雷斯, Spoor & Fisher 的合伙人介绍了您需要了解的有关该产品的所有信息,并处理数字以揭示哪些公司已经在使用该系统。 

客人分析 

随着基于电子邮件的网络钓鱼和其他欺诈行为的猖獗,品牌所有者现在可以利用额外的电子邮件身份验证层来提高品牌知名度和参与度,并赋予他们的电子邮件更高的信任感和安全感:用于消息识别的品牌指标 (BIMI) standard, combined with trade mark validation through validated mark certificates (VMCs). 

什么是BIMI? 

BIMI 是一种新标准,它将品牌标志附加到使用经过验证的域名发送的电子邮件中。该徽标作为头像显示在收件人电子邮件客户端中来自品牌的电子邮件旁边。请参阅下面的 CNN 示例。

BIMI, Everything you need to know about BIMI and validated mark certificates

资源

对品牌的好处是显而易见的: 

  • 收件人更有可能信任电子邮件的来源; 
  • 品牌印象、电子邮件打开率和参与度增加;和 
  • 电子邮件脱颖而出。

过去,邮箱提供商开发了自己的个人方法来表示邮箱中的徽标。这种拼凑方法的缺点是每个提供商都必须维护自己的徽标存储库。此外,品牌所有者必须与每个邮箱提供商联系并满足每个提供商的规范。引入BIMI来克服这个问题。 

有趣的是,还引入了 BIMI 以激励品牌实施适当的电子邮件身份验证,这是 BIMI 标准所要求的。如下所述,这样做的品牌会因展示其徽标而获得奖励。 

BIMI 标准是由电子邮件市场中的几家大型企业创建的开放的、供应商中立的标准,包括 Google、Verizon Media(包括雅虎、AOL 和 Netscape)和 Fastmail。这AuthIndicators 工作组成立是为了开发和支持互联网工程任务组 (IETF) 标准.邮箱提供商对 BIMI 的支持正在增长,并且可以跟踪AuthIndicators 网站.谷歌的公告2021 年 7 月 Gmail 将支持 BIMI 肯定会刺激其他提供商。尤其缺席的当前 BIMI 支持提供商提供 Microsoft Outlook 和 Office 365。 

如何实施BIMI 

谷歌发布了一个全面的指导实施BIMI。要利用 BIMI,发件人必须为相关域制定特定的电子邮件身份验证协议,特别是: 

  • 发件人策略框架 (SPF),它指定允许为域发送电子邮件的 IP 地址; 
  • 域密钥识别邮件 (DKIM),它添加了一个数字签名,用于验证电子邮件的真实性并且在传输过程中没有更改;和 
  • 基于域的消息身份验证、报告和一致性 (DMARC),它构建在 SPF 和 DKIM 之上,基本上告诉接收邮件服务器在 SPF 和/或 DKIM 身份验证失败时该怎么做。 

对于 BIMI,重要的是将 DMARC 策略配置为至少隔离或拒绝身份验证失败的电子邮件。 

实施这些后,品牌必须以 SVG 图形文件格式创建徽标并将其上传到其网络服务器。接下来,品牌应在域名系统 (DNS) 区域对于它的域的形式文字记录.该 DNS 记录实质上将指向其网络服务器上品牌徽标的位置,这是电子邮件客户端验证和获取它的方式。 

VMC 适用于何处? 

有两类 BIMI 记录。最简单的是“自我声明”——该徽标在没有独立第三方验证该域的注册人对该徽标拥有任何权利的情况下发布并与域相关联。一些电子邮件提供商接受自称的 BIMI 记录,并会显示相应的徽标;但是,有些(尤其是 Gmail)不要求将徽标验证为与特定域相关联。

为了解决这个问题,标记验证机构 (MVA) 确认: 

  • 标志的合法性; 
  • 申请人对其享有权利;和 
  • 它与相关域名相关联。 

MVA 发出 VMC,类似于安全套接字层 (SSL)/传输层安全 (TLS) 证书通常用于加密浏览器和网站之间的通信。 VMC 验证过程包括严格的 identity and trade mark verification to decrease the likelihood of VMCs being used to spoof a brand. Notarised personal identification documents and a live meeting with the MVA are required, and the MVA must verify the trade mark registration by consulting the official database of the trade mark registry. 

验证过程非常类似于扩展验证证书 – 具有最严格身份验证要求的最高级别 SSL/TLS 证书。 VMC 与 SSL/TLS 证书一样,通过验证颁发链以及将 VMC 与指定域相关联,提供了安全验证和识别 MVA 的加密方法。 

谁是 MVA? 

目前有两种 MVA 的 VMC 被广泛接受:数字证书委托. AuthIndicators 不认可 MVA。是否接受由任何 MVA 生成的 VMC 由每个邮箱提供商自行决定。可以找到潜在 MVA 的信息这里

AuthIndicators 中规定了对 VMC 的要求VMC 指南. In order to qualify for a VMC, the applicant must own a trade mark registration. Registrations are currently accepted in only eight national/regional trade mark registries: Australia, Canada, the EUIPO, Germany, Japan, Spain, the United Kingdom and the United States. 

每个 VMC 只能覆盖一个标志,但它可以覆盖多个域和子域。如果多个徽标需要一个 VMC,则需要相同数量的 VMC。 DigiCert 发布了一个有用的指导确定组织可能需要的适当 VMC 数量。 

VMC 可以涵盖设计商标(没有文字或字母的图形设计)、文字商标或组合商标(文字和设计元素)。重要的是,VMC 指南似乎要求提交给 MVA 以包含在 VMC 中的徽标与注册商标完全匹配。这包括适用于注册商标的任何颜色限制。

然而,委托出现 to accept “substantially identical” matches exhibiting minor variations such as “size/aspect ratio, background color, etc” if an additional confirmatory letter is provided. According to Appendix E of the VMC Guidelines, guidelines are being developed for MVAs on the comparison of registered trade marks with mark representations for VMCs. 

VMCs 目前仅发行一年。 DigiCert 的成本是 $1,499,用于覆盖一个徽标一年的单个 VMC。在撰写本文时,Entrust 的定价尚未公开。 

MVA 需要发布预认证以供公众访问证书透明度 (CT) logs before issuing VMCs, as with SSL/TLS certificates. Pre-certificates contain all a VMC’s information, including a representation of the logo and trade mark registration information, and can be inspected by anyone, which helps to detect mis-issued certificates. The open, public nature of CT logs is to be contrasted with the closed database employed by the 商标信息交换所 (TMCH), which verifies trade marks for use with various rights protection mechanisms in the DNS. The secrecy of the TMCH database was recently 谴责知识产权学者。 

SSL/TLS 证书的 CT 日志已被域名监视服务用于检测侵权域名和子域。应考虑是否应扩展这些监视服务,以监控 VMC CT 日志中发布的新 VMC 预认证以查找侵权徽标,可能使用图像识别技术。鉴于域和子域也包含在 VMC 预证书中,它们还可以形成一个新的数据源来监控侵权域和子域。 

CT 日志告诉我们有关品牌使用情况的哪些信息? 

分析这些 VMC CT 日志可提供有关 VMC 吸收的有趣信息。截至 2021 年 8 月 24 日,AuthIndicators 已批准当前 VMC 指南附录 F 中的一份公共 CT 日志,特别是https://gorgon.ct.digicert.com/log(戈尔工)。在浏览器中访问该 URL 时,该 URL 将返回 404 Not Found 响应; Gorgon 与其他 CT 日志一样,必须使用中列出的路径和参数进行查询。CT标准

Gorgon 似乎与 SSL/TLS 证书的日志分开维护,并且似乎只包含 VMC 预证书。没有简单的方法可以提取和解析颁发给特定 CT 日志的所有证书;因此,一些编码是必要的。与我的朋友和软件开发人员一起工作里克特·穆德,我们使用了斧头兵实用程序以及依赖 CT 标准的自定义 Python 脚本来检索和解析发布到 Gorgon 的所有 VMC 预证书。 

对 Gorgon 数据的分析显示,截至 2021 年 8 月 24 日,已发布了 329 个 VMC 预认证,这表明已发布了同等数量的 VMC。

However, further analysis reveals there to be duplicates, or near duplicates, due to certificates having expired, been revoked or been issued with small differences (eg, separate pre-certificates were issued for the same organisation and trade mark but for different domains or subdomains). Thus, the true number of unique, issued VMCs, as observed in Gorgon at the time of writing, is something less than 329. 

With a view to getting a more accurate indication of actual VMCs issued for unique trade marks, I have removed duplicate entries from the Gorgon list based on trade mark registration number and registry. This reveals 125 unique trade marks as of 24 August 2021, suggesting that 125 VMCs have been issued to date, excluding re-issued VMCs due to expiry, revocation and other things.

It seems that almost all organisations applied for VMCs for a single trade mark, and the total number of unique organisations appears to be 122; three organisations applied for VMCs for two different marks each. 

就申请组织的地域划分而言,正如在 Gorgon 中所观察到的,百分比最高的国家是: 

  • 美国(59%); 
  • 英国(13%); 
  • 德国(4%); 
  • 澳大利亚(4%); 
  • 荷兰(2%); 
  • 瑞典(2%); 
  • 加拿大(2%); 
  • 日本(1.5%); 
  • 丹麦(1.5%);和 
  • 捷克共和国 (1.5%)。 

My de-duplicated list for Gorgon, showing the unique trade marks and unique organisations, including trade mark registry information, can be downloaded 这里.我会不时用最新数据更新列表,可以继续从该链接访问。如果 AuthIndicators 更改了批准的 CT 日志(目前只有 Gorgon),该列表将在该链接处更新以包括所有批准的 CT 日志。 

除了 Gorgon 中的条目之外,为了彻底起见,我还分析了每个 DigiCert 和 Entrust 的 MVA 特定证书颁发机构发布到任何公共 CT 日志的 VMC 预证书,而不仅仅是 Gorgon,使用文件CT搜索工具。截至 2021 年 8 月 24 日,总数为 364,其中 DigiCert 和 Entrust 大致平均分配。 

如上所述,与 Gorgon (329) 中 VMC 预证书总数的差异可以通过以下事实来解释:以前的迭代在 VMC 指南中,有多个批准的 CT 日志,但目前只有一个(Gorgon),并且一些 VMC 预认证之前没有发布给 Gorgon,而是发布给了其他人。鉴于存在测试证书和重复或接近重复,在撰写本文时,唯一颁发的 VMC 的真实数量少于 364。 

As with the Gorgon list discussed above, I have removed the duplicates as well as the obvious test certificates based on the trade mark registration number and registry. This reveals 129 unique trade marks as at 24 August 2021, suggesting that 129 VMCs have been issued to date, excluding re-issued VMCs due to expiry, revocation and other things. Given that not all VMC pre-certificates have been published to Gorgon, this second list, accounting for all VMC pre-certificates published by Digicert or Entrust to any CT log (as far as I can tell), gives one a better indication of the total number of VMCs issued to date. 

总共观察到 127 个独特的组织。就申请组织的地域划分而言,排名前列的国家是: 

  • 美国(59%); 
  • 英国(13%); 
  • 德国(4%); 
  • 澳大利亚(4%);和 
  • 加拿大 (3%)。 

My de-duplicated list, with obvious test certificates removed, showing the unique trade marks and unique organisations, including trade mark registry information, can be downloaded 这里.同样,我将不时使用最新数据更新列表,这些数据可以继续从该链接访问。 

有趣的是,根据公开的 CT 日志,根据美国商标注册,第一个 VMC 似乎已被 Entrust 授予摩根大通,预证书已于 2019 年 8 月 19 日发布到 CT 日志中2015389. DigiCert 随后向 CNN 颁发了第一个 VMC,并于 2019 年 10 月 4 日发布了基于美国商标注册的预证书5817930

截至 2021 年 8 月 23 日,DigiCert 发布的最新 VMC 预证书是针对美国著名的制造商皮匠多功能工具品牌,Leatherman Tool Group,基于美国商标注册5783288,于 2021 年 8 月 22 日与其他四个不同组织的其他四个组织在同一天发布到 CT 日志。对于 Entrust 而言,最近一次发布于 2021 年 8 月 20 日(Entrust 当天唯一发布的),用于英国汽车广告平台汽车和自行车, 基于英国商标注册UK00003647211

CT日志中出现的其他已申请VMC的熟悉品牌包括Groupon、Instagram、Netflix、Palantir、Paypal、Pinterest、Stripe、Trek Bicycle Corporation和Wix。其他人可以在我上面链接的重复数据删除列表中观察到。 

品牌采用率是否会增加? 

我不是 CT 日志专家或数据科学家,我的目的只是粗略地了解 VMC 的使用情况。不保证上述数据准确或全面。从 CT 日志来看,VMC 的发行速度似乎在加快,Digicert 和 Entrust 每天都会定期发布多个预证书。 

BIMI 和 VMC 在品牌中的采用率似乎较低,但鉴于其优势和 Gmail 最近的采用,预计会显着增长。比米雷达是信息安全公司创建的一个有趣的平台红筛和 Entrust 跟踪全球 BIMI 的采用情况。根据 BIMI Radar,在撰写本文时: 

  • 22% 的大型全球上市公司拥有部署 BIMI(BIMI 就绪)所需的 DMARC 政策; 
  • 0.71% 发布了一个自称(未经验证)的 BIMI 标志;和 
  • 0.17% have implemented BIMI with a verified, trade mark protected logo using a VMC. 

在美国: 

  • 大约 46% 的大型上市公司已准备好 BIMI; 
  • 5% 已发布自称的 BIMI 标志;和 
  • 3% 已经实施了带有 VMC 的 BIMI。 

兰德尔·平托Red Sift 的联合创始人兼 CTO,根据 100 个品牌的 BIMI 使用情况为我起草了一份定制报告2020 福布斯最有价值品牌列表。该报告基于 2021 年 8 月 23 日获得的数据,可下载这里.该报告表明,40 个品牌已制定部署 BIMI(BIMI 就绪)所需的 DMARC 政策,而只有四个品牌——即美国银行、Ebay、摩根大通和 UPS——在组织层面实施了 VMC。 

AuthIndicators 提供了一个有用的工具检查是否有任何域已准备好 BIMI 以及它是否已经实施了 BIMI,包括使用 VMC。可以使用相同的工具生成 BIMI DNS 记录,这可以协助 BIMI 实施过程。 

Will the scope of trade mark and IP rights for VMCs be expanded? 

Clearly the limitation of VMCs to trade mark registrations in only eight trade mark registries is problematic – likewise, the absence of protection for unregistered marks and marks protected by statute or treaty (eg, geographical indications). The long-established TMCH is an example of how this could be expanded, although admittedly 不是每个人对 TMCH 的操作感到满意。 TMCH 长期以来公认法院确认的未注册商标和受法规或条约保护的商标。 

VMC 所涵盖的商标表示与注册商标之间完全匹配的要求也可能给自注册以来更改其商标的品牌所有者带来困难。 

AuthIndicators 是显然 in the process of expanding the list of supported trade mark registries for VMCs. It is also considering plans to cover unregistered marks and marks protected by statute or treaty, as well as “slightly altered” trade marks. In its 笔记关于这些问题,AuthIndicators 表示:“我们的最终目标是鼓励安全电子邮件最佳实践。

To achieve that goal, we’ll continue to expand features and support for BIMI so brands can exert control over how their logos are displayed (even when they aren’t registered trade marks). While companies with trade marks can apply for a VMC now, we also encourage those without registered trade marks to publish “self-asserted” BIMI records. We look forward to new evaluation processes that support a broader array of logo types.” 

Given the rigorous identity and trade mark verification process set out in the VMC Guidelines, the potential for misuse of VMCs and trade marks by unauthorised third parties is limited, although not impossible, especially given that it is left to the discretion of mailbox providers to decide whether to accept VMCs from any MVA. Section 4.9 of the VMC Guidelines provides for a VMC revocation process and requires MVAs to make an abuse reporting mechanism publicly available and to act on abuse reports within specified timelines. DigiCert’s reporting mechanism can be found 这里和委托的这里

基于每年 $1,499 的 DigiCert 成本,VMC 的成本相当高,因此不会对许多品牌有吸引力。鉴于品牌和消费者的明显好处以及电子邮件的总体安全性,希望随着更多 MVA 开始提供 VMC,成本会随着时间的推移而降低,就像 SSL/TLS 证书一样。