BIMI : authentification visuelle Gmail/Yahoo, setup VMC et impact sur l'open rate
TL;DR. BIMI (Brand Indicators for Message Identification) permet d'afficher votre logo directement dans la boîte de réception Gmail et Yahoo, à côté du nom d'expéditeur, avant que le destinataire n'ouvre l'email. L'impact mesuré sur l'open rate est réel mais nécessite un prérequis strict : DMARC en enforcement (reject ou quarantine), SPF et DKIM alignés, et un certificat VMC ou CMC. Ce guide couvre le setup complet, les coûts, et les pièges à éviter.
La boîte de réception est une bataille d'attention. Votre email concourt avec des dizaines d'autres pour être ouvert en quelques millisecondes de regard. BIMI ajoute votre logo dans cette fenêtre d'attention, avant même l'objet. C'est un signal visuel de confiance et de reconnaissance de marque que les autres expéditeurs non-certifiés n'ont pas.
Ce n'est pas une révolution de votre deliverability, mais c'est un avantage différenciant pour les marques qui ont déjà réglé leurs fondamentaux d'authentification. Si vous n'avez pas encore DMARC en enforcement, lisez d'abord SPF, DKIM, DMARC : la configuration DNS complète.
1. Qu'est-ce que BIMI techniquement
BIMI est un standard de l'industrie email développé par le groupe AuthIndicators Working Group, qui inclut Google, Yahoo, Verizon Media et d'autres mailbox providers. Il repose sur un enregistrement DNS TXT spécifique qui pointe vers votre logo sous format SVG.
Le record DNS BIMI
Le record BIMI se publie sur le sous-domaine _bimi de votre domaine d'envoi. Structure type :
_bimi.votredomaine.com TXT "v=BIMI1; l=https://votredomaine.com/logo.svg; a=https://votredomaine.com/certificate.pem"
Deux paramètres :
- l= : URL de votre logo SVG (hébergé sur un serveur HTTPS public)
- a= : URL de votre certificat VMC ou CMC (facultatif pour les providers qui acceptent BIMI sans certificat, obligatoire pour Gmail)
Le format SVG Tiny PS
BIMI n'accepte pas un SVG quelconque. Il exige le format SVG Tiny PS (Tiny Portable Secure), un sous-ensemble strict du SVG 1.2 Tiny défini par le W3C. Les contraintes principales :
- Pas de scripts, pas de JavaScript, pas de références externes
- Pas d'images embarquées (pas de PNG ou JPEG en base64 dans le SVG)
- Logo centré dans un carré, avec fond uni ou transparent
- Taille recommandée : format carré, minimum 100x100 pixels de surface logique
La plupart des exports SVG standards depuis Illustrator ou Figma ne sont pas conformes SVG Tiny PS directement. Une conversion ou un nettoyage manuel est nécessaire. Des outils comme le validateur BIMI officiel (bimigroup.org/bimi-svg-conversion-tool/) permettent de vérifier la conformité.
VMC vs CMC : les deux types de certificats
VMC (Verified Mark Certificate) : certificat commercial émis par des autorités de certification autorisées (Entrust, DigiCert). Requiert que votre logo soit une marque déposée dans votre juridiction. Le processus de vérification prend 2 à 4 semaines et nécessite de fournir vos documents de dépôt de marque. Le certificat est lié à votre domaine d'envoi et à votre logo SVG spécifique. Le VMC permet l'affichage du logo avec le checkmark bleu vérifié dans Gmail.
CMC (Common Mark Certificate) : certificat accessible sans marque déposée, introduit en disponibilité générale sur Gmail début 2025. Requiert que votre logo ait été utilisé publiquement et visiblement pendant au moins 12 mois. Le CMC affiche votre logo dans Gmail mais sans le checkmark bleu de vérification (réservé au VMC). Pour Yahoo, un logo self-asserted sans certificat est également possible. Le CMC est moins coûteux et plus rapide à obtenir que le VMC (délai 5-10 jours vs 2-4 semaines).
2. Prérequis obligatoires
BIMI ne fonctionne que si votre authentification email est en ordre. Il ne masque pas des problèmes d'authentification, il se greffe dessus.
DMARC en enforcement strict
Prérequis absolu : votre politique DMARC doit être en reject ou quarantine (pas none). Un record DMARC en p=none ne satisfait pas les conditions BIMI.
_dmarc.votredomaine.com TXT "v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.com"
La politique p=reject est recommandée pour une protection maximale et pour satisfaire pleinement les conditions BIMI. Si votre domaine est en p=quarantine, certains providers acceptent BIMI, d'autres exigent p=reject. Pour Gmail, p=quarantine avec pct=100 est accepté.
Pourquoi DMARC est-il le prérequis : BIMI est conçu pour afficher le logo des expéditeurs authentifiés. Un logo sans vérification d'authentification permettrait à des phishers d'afficher votre logo depuis des domaines non autorisés. DMARC en enforcement garantit que seuls les expéditeurs autorisés par votre politique peuvent afficher votre logo.
SPF et DKIM alignés
Les emails envoyés depuis votre domaine doivent passer l'alignement DMARC, ce qui requiert :
- SPF aligné : le domaine dans le header From correspond au domaine dans le Return-Path
- DKIM aligné : la signature DKIM est sur le même domaine (ou un sous-domaine) que le From
Si vous envoyez depuis newsletters@votredomaine.com via Klaviyo, vous devez avoir configuré un domaine d'envoi personnalisé dans Klaviyo et publié les enregistrements DKIM fournis par Klaviyo sur votre DNS.
Tableau des prérequis BIMI
| Prérequis | Niveau requis | Vérification |
|---|---|---|
| DMARC | p=reject ou p=quarantine | mxtoolbox.com/dmarc.aspx |
| SPF | Aligné avec le From | Envoi test + vérification headers |
| DKIM | Aligné avec le From | Envoi test + vérification headers |
| Logo SVG Tiny PS | Conforme | bimigroup.org/bimi-svg-conversion-tool/ |
| Logo hébergé HTTPS | URL publique, HTTPS | Vérification d'accessibilité |
| VMC (pour Gmail) | Marque déposée requise | DigiCert ou Entrust |
3. Coût et processus d'obtention du VMC
Le certificat VMC est la partie la plus coûteuse et la plus longue du setup BIMI. Ce n'est pas un frais ESP mais un frais d'autorité de certification.
Fournisseurs agréés
En 2026, deux autorités de certification principales sont autorisées à émettre des VMC pour BIMI :
- DigiCert (digicert.com)
- Entrust (entrust.com)
Sectigo émet également des VMC via certains revendeurs à des tarifs différents.
Coût indicatif
D'après les tarifs publics de DigiCert consultés en mai 2026, un VMC DigiCert est facturé à partir de 1 416 USD par an sur engagement 12 mois. Entrust se situe dans une fourchette comparable. Des revendeurs proposent des prix légèrement différents. Les tarifs évoluent : consultez directement les pages tarifaires des fournisseurs pour un prix actualisé.
Processus d'obtention
-
Vérification de la marque déposée : vous devez fournir le numéro d'enregistrement de votre marque dans les bases officielles (EUIPO pour l'Europe, USPTO pour les États-Unis, INPI pour la France). La marque doit être active et correspondre au logo SVG que vous soumettez.
-
Validation du domaine : l'autorité de certification vérifie que vous contrôlez le domaine pour lequel le certificat est émis.
-
Validation du logo : le logo SVG soumis doit correspondre à la marque déposée. Une vérification manuelle est effectuée par l'autorité de certification.
-
Durée : comptez entre 2 et 6 semaines pour obtenir le certificat, selon la complexité de votre dossier et la charge des autorités de certification.
-
Renouvellement : les certificats VMC ont une durée de validité limitée (généralement 1 an). Le renouvellement implique un nouveau processus de vérification.
4. Impact mesuré sur l'open rate
L'affichage du logo BIMI améliore la reconnaissance de marque et la confiance. Plusieurs études publiées mesurent cet impact :
- Verizon/Yahoo pilot program : +10 % d'engagement en moyenne sur les campagnes avec BIMI activé, selon les premiers tests pilotes Yahoo.
- Red Sift et Entrust (étude comparative, marques UK/US) : +21 % d'open rate aux États-Unis et +39 % au Royaume-Uni quand les logos des marques testées étaient affichés et ceux des concurrents ne l'étaient pas. Ces chiffres reflètent un avantage comparatif dans des conditions de test spécifiques, pas un gain absolu universel.
Nuance importante : ces études présentent des méthodologies et des conditions différentes. L'impact réel dépend de la notoriété de votre marque, de la part de vos contacts sur Gmail/Yahoo, et des effets Apple MPP (qui gonfle les open rates généraux). Considérez ces chiffres comme indicatifs d'une tendance positive plutôt que comme une garantie de résultat.
Nuance importante : l'impact de BIMI sur l'open rate est difficile à isoler proprement. Les marques qui déploient BIMI ont généralement déjà de bonnes pratiques d'authentification (DMARC en enforcement), ce qui améliore la deliverability indépendamment du logo. L'attribution de l'amélioration de l'open rate à BIMI seul nécessite un test A/B rigoureux sur des domaines comparables, ce qui est complexe à réaliser.
Sur quels providers BIMI est-il affiché :
| Provider | Support BIMI | VMC requis | CMC accepté |
|---|---|---|---|
| Gmail (web et mobile) | Oui | Oui (pour checkmark bleu) | Oui (sans checkmark bleu, depuis début 2025) |
| Yahoo Mail | Oui | Recommandé | Oui (et self-asserted sans certificat accepté) |
| Apple Mail | Non (en 2026) | N/A | N/A |
| Outlook | Non (en 2026) | N/A | N/A |
| Fastmail | Oui (partiel) | Variable | Variable |
Apple Mail et Outlook ne supportent pas encore BIMI de façon native. L'impact est donc concentré sur les utilisateurs Gmail et Yahoo.
5. Setup étape par étape
Étape 1 : Vérifier les prérequis d'authentification
Avant tout, vérifiez que DMARC est en enforcement et que SPF/DKIM sont alignés via un outil de test d'en-têtes email (MXToolbox, mail-tester.com, ou le vérificateur intégré de votre ESP).
Étape 2 : Préparer votre logo SVG Tiny PS
- Exportez votre logo en SVG depuis votre outil de design (Figma, Illustrator).
- Nettoyez le SVG : supprimez tous les éléments non conformes (scripts, images embarquées, polices d'une source externe).
- Centrez le logo dans un carré avec un fond. Le fond peut être transparent ou coloré selon votre charte.
- Validez la conformité sur l'outil officiel BIMI Group ou via un validateur tier.
- Hébergez le fichier SVG sur votre serveur en HTTPS, accessible publiquement (ex :
https://votredomaine.com/bimi/logo.svg).
Étape 3 : Obtenir le certificat VMC (si Gmail est une priorité)
Lancez le processus de demande VMC chez DigiCert ou Entrust. Préparez vos documents de marque déposée. Le certificat PEM sera fourni à l'issue du processus.
Étape 4 : Héberger le certificat VMC
Le certificat VMC (format PEM) doit être hébergé en HTTPS sur votre serveur, accessible publiquement (ex : https://votredomaine.com/bimi/certificate.pem).
Étape 5 : Publier le record DNS BIMI
Accédez à votre gestionnaire DNS et ajoutez un enregistrement TXT :
Nom : _bimi.votredomaine.com
Type : TXT
Valeur : v=BIMI1; l=https://votredomaine.com/bimi/logo.svg; a=https://votredomaine.com/bimi/certificate.pem
TTL : 3600
Si vous utilisez des sous-domaines d'envoi (ex : newsletters.votredomaine.com), publiez le record sous _bimi.newsletters.votredomaine.com.
Étape 6 : Vérifier et tester
- Outil de vérification BIMI officiel : https://bimigroup.org/bimi-generator/
- Envoyez un email test à une adresse Gmail et vérifiez l'affichage du logo.
- La propagation DNS peut prendre jusqu'à 48 heures.
6. Troubleshooting
Le logo n'apparaît pas dans Gmail
Causes fréquentes :
1. DMARC n'est pas en reject ou quarantine - vérifiez avec MXToolbox
2. DKIM ou SPF non alignés - vérifiez les en-têtes de l'email test
3. SVG non conforme au format Tiny PS - revalidez avec l'outil BIMI Group
4. Certificat VMC expiré ou mal hébergé - vérifiez l'accessibilité de l'URL HTTPS du PEM
5. Propagation DNS incomplète - attendez 48h après toute modification DNS
Le logo apparaît dans Yahoo mais pas dans Gmail
Gmail est plus strict sur les prérequis. Vérifiez que vous avez bien un VMC valide (Yahoo peut afficher sans VMC dans certains cas, Gmail exige le VMC pour afficher le logo certifié).
Le SVG est validé mais Gmail n'affiche pas le logo
Vérifiez que l'URL du SVG est accessible depuis des IPs externes (pas derrière un firewall ou une whitelist IP). Certains serveurs bloquent les crawlers de Google, ce qui empêche la vérification du logo.
Le VMC est valide mais le checkmark bleu n'apparaît pas
Le checkmark bleu (signe de vérification GMail) est distinct du simple affichage du logo. Il requiert à la fois un VMC valide et un processus de vérification de marque chez Google lui-même, qui se produit progressivement après le déploiement.
Pour aller plus loin
- SPF, DKIM, DMARC : la configuration DNS complète
- Deliverability email : le guide complet anti-spam
- Google et Yahoo : les nouvelles règles deliverability 2026
- List hygiene Klaviyo : nettoyer sa base sans tuer sa deliverability
- Brevo deliverability : les 7 réglages avant envoi
- Scorecard lifecycle email : évaluez votre setup sur 50 points
→ Réserver un audit deliverability
FAQ
BIMI améliore-t-il directement la deliverability (inbox placement) ?
BIMI lui-même n'améliore pas directement l'inbox placement. En revanche, ses prérequis (DMARC en enforcement, SPF/DKIM alignés) améliorent significativement l'inbox placement. C'est l'une des confusions fréquentes : les bénéfices observés après un déploiement BIMI viennent souvent de l'amélioration de l'authentification qui était le prérequis, pas de BIMI lui-même.
Dois-je avoir ma marque déposée pour bénéficier de BIMI ?
Pour Gmail avec affichage certifié (logo avec checkmark), oui. Un VMC requiert une marque déposée active. Si votre marque n'est pas déposée, vous pouvez implémenter BIMI pour Yahoo et d'autres providers qui acceptent sans VMC, mais l'affichage sur Gmail sera limité. Le processus de dépôt de marque en France via l'INPI prend en moyenne 5 à 6 mois.
Mon ESP gère-t-il BIMI automatiquement ?
Non. BIMI est un enregistrement DNS publié sur votre domaine. Votre ESP (Klaviyo, Brevo, etc.) n'en est pas responsable. Vous gérez vous-même la publication du record DNS, l'hébergement du SVG et du certificat, et l'obtention du VMC. Votre ESP doit en revanche vous permettre de configurer un domaine d'envoi personnalisé (custom sending domain) avec DKIM propre, ce qui est un prérequis côté ESP.
BIMI fonctionne-t-il sur les emails transactionnels ou seulement les campagnes marketing ?
BIMI s'applique à tous les emails envoyés depuis votre domaine, qu'ils soient transactionnels ou marketing, à condition que l'authentification soit en ordre. Si vos emails transactionnels sont envoyés depuis un sous-domaine différent (ex : notifications.votredomaine.com), vous devrez publier un record BIMI séparé pour ce sous-domaine.
Quel est le délai avant de voir le logo apparaître après déploiement ?
Après publication du record DNS et vérification des prérequis, l'affichage du logo peut mettre entre quelques heures et plusieurs semaines selon Gmail. Google vérifie périodiquement les records BIMI. Le délai n'est pas instantané après propagation DNS.
Le CMC est-il une alternative viable au VMC pour 2026 ?
Oui. Depuis début 2025, Gmail supporte officiellement les CMC (Common Mark Certificates), ce qui ouvre BIMI aux marques sans marque déposée. Le CMC affiche votre logo dans Gmail sans nécessiter de trademark, mais sans le checkmark bleu de vérification (réservé aux VMC). Si votre logo est utilisé publiquement depuis plus de 12 mois et que votre DMARC est en enforcement, le CMC est une voie concrète et nettement moins coûteuse que le VMC. Pour les marques qui ont une marque déposée et qui veulent le checkmark bleu (signal de confiance supplémentaire), le VMC reste pertinent.
BIMI a-t-il un impact sur le score anti-spam ?
Non directement. BIMI est un mécanisme d'affichage visuel, pas un critère de filtrage anti-spam. Cependant, les prérequis BIMI (DMARC en enforcement) réduisent les risques de spoofing et de phishing, ce qui protège votre réputation de domaine sur le long terme.
Charlotte Rodrigues, CRM Lead chez Deliver by Make Sense.
Besoin d'appliquer ça à votre stack ?
30 minutes avec Charlotte. On audit votre setup CRM en direct, on chiffre l'opportunité, vous repartez avec un plan d'attaque.
Réserver 30 minutes →