Você já conhece a mensagem sobre DMARC. Publicou o registro, está avançando em direção ao p=reject e seus e-mails estão sendo autenticados corretamente. Você está à frente de 91% dos domínios na internet.
Mas aqui está o que nenhuma lista de verificação de conformidade te diz: a autenticação prova que seu e-mail é legítimo — mas não faz nada para tornar essa legitimidade visível para a pessoa que está olhando para sua caixa de entrada.
Essa lacuna entre autenticação técnica e confiança humana é exatamente o que o BIMI foi projetado para fechar. E em 2026, com campanhas de phishing alimentadas por IA disparando a níveis inimagináveis há dois anos, fechar essa lacuna tornou-se um imperativo estratégico — não algo opcional.
Os Números de Ameaças São Alarmantes
A telemetria de segurança da Microsoft registrou 8,3 bilhões de ameaças de phishing por e-mail apenas no primeiro trimestre de 2026. Campanhas de phishing com inteligência artificial — com textos indistinguíveis de comunicações executivas legítimas, faturas de fornecedores e alertas de suporte técnico — cresceram 204% em relação ao ano anterior. Um e-mail malicioso foi detectado a cada 19 segundos.
O perigo não é apenas o volume. É a qualidade. Em 2024, você podia identificar um e-mail de phishing pela redação estranha ou saudação genérica. Em 2026, o phishing gerado por IA passa em qualquer verificação gramatical e frequentemente imita exatamente o tom do remetente que está se passando por ele. O único sinal confiável que resta para um destinatário é a própria identidade do remetente — e é exatamente isso que os indicadores de marca tornam confiáveis de relance.
Os kits de Phishing-as-a-Service (PhaaS) — infraestrutura de ataque pré-construída que qualquer ator com poucas habilidades pode alugar — agora alimentam 90% das campanhas de phishing de alto volume. Se o seu domínio é reconhecível, ele é um alvo. Se sua política DMARC ainda está em p=none, a identidade da sua marca é efetivamente um recurso aberto para qualquer operador de PhaaS que queira se passar por você.
O Que É BIMI?
BIMI significa Brand Indicators for Message Identification (Indicadores de Marca para Identificação de Mensagens). É um padrão publicado em DNS que instrui os provedores de caixa de entrada a exibir o logotipo oficial da sua marca diretamente na caixa de entrada — ao lado do nome do remetente, antes mesmo de o destinatário abrir a mensagem.
Pense nisso como um selo verificado para a sua identidade de e-mail. Quando uma caixa de entrada compatível com BIMI (Gmail, Yahoo, Apple Mail, Fastmail) recebe sua mensagem autenticada, ela busca o logotipo que você publicou no DNS e o renderiza na posição de avatar do remetente. Seus clientes veem seu logotipo. Cada e-mail que você envia carrega um sinal de confiança visual que os golpistas não conseguem replicar — porque o BIMI exige passar pelo DMARC no nível de aplicação para ser ativado.
O requisito é intencional: o BIMI só funciona se o seu domínio tiver p=quarantine ou p=reject. Um remetente malicioso não pode falsificar um logotipo que exige prova de propriedade do domínio para ser desbloqueado. O logotipo é a autenticação tornada visível.
Quem Suporta BIMI Hoje?
O suporte dos provedores se expandiu significativamente. A partir de 2026, a exibição do logotipo BIMI está ativa em:
- Gmail (requer um Certificado de Marca Verificada ou Certificado de Marca Comum para o selo de verificação)
- Yahoo Mail (suporta logotipos sem VMC, embora certificados sejam recomendados)
- Apple Mail (iOS 16+ e macOS Ventura+)
- Fastmail
- AOL
Uma ressalva importante: Microsoft Outlook, Hotmail e Office 365 ainda não suportam BIMI. A Microsoft não publicou um roteiro de curto prazo para adoção. Para remetentes cuja lista seja predominantemente de endereços Outlook de consumidor, isso limita o alcance imediato do BIMI — mas Gmail e Yahoo juntos representam a maioria das caixas de entrada de consumidores globalmente, e o Apple Mail é o cliente móvel dominante em muitos mercados.
Os Dois Tipos de Certificados
Quando o Gmail exibe um logotipo BIMI, ele requer um dos dois tipos de certificados para mostrar o selo de verificação azul:
VMC (Certificado de Marca Verificada): O tipo de certificado BIMI original. Exige que o design do seu logotipo seja uma marca registrada na jurisdição relevante. Emitido por um pequeno número de autoridades certificadoras (DigiCert, Entrust). Os custos geralmente variam de US$ 1.000 a US$ 1.500 por ano.
CMC (Certificado de Marca Comum): A opção mais nova e acessível. Não exige marca registrada. Projetado para tornar o BIMI acessível a organizações que usam logotipos sem registro formal de marca. Os CMCs seguem o mesmo processo técnico que os VMCs e fornecem exibição equivalente na caixa de entrada.
Para organizações que já possuem marcas registradas, o VMC é a escolha natural. Para todos os demais — incluindo a maioria das PMEs, startups e organizações sem fins lucrativos — o CMC elimina a maior barreira para a adoção do BIMI.
Por Que Apenas 9% dos Domínios Elegíveis Têm BIMI
Uma análise da Validity sobre 13.000 domínios descobriu que 90,85% não tinham nenhum registro BIMI. A maioria dos destinatários em caixas de entrada compatíveis com BIMI vê um círculo cinza com uma letra inicial em vez do logotipo de uma marca reconhecível — mesmo quando o remetente é uma empresa que conhecem bem.
As razões para a baixa adoção acompanham as razões para a baixa aplicação do DMARC: os pré-requisitos parecem complexos, as etapas técnicas são desconhecidas e o caso de negócio nem sempre é óbvio para equipes focadas em métricas puras de entregabilidade.
Mas a lógica de negócios está ficando mais clara. Estudos da Validity e da Litmus mostram que e-mails que exibem logotipos de marca na caixa de entrada recebem entre 10 e 30% mais taxas de abertura em comparação com as mesmas mensagens sem exibição de logotipo. Para uma lista de 100.000 assinantes com uma taxa de abertura de 25%, um aumento de 20% nas aberturas equivale a 5.000 leituras adicionais engajadas — por envio, toda vez.
O Caminho de Implementação do BIMI
O BIMI não é um único interruptor a ser ativado. É a última etapa de uma jornada de autenticação em várias etapas. Esta é a sequência:
Etapa 1 — DMARC no nível de aplicação. Seu domínio deve ter p=quarantine ou p=reject. O BIMI não será ativado com uma política p=none. Se você ainda não chegou lá, este é o seu ponto de partida.
Etapa 2 — SPF e DKIM alinhados. Todos os fluxos de e-mail legítimos devem ser autenticados e alinhados. O BIMI requer autenticação aprovada de forma consistente — aprovações esporádicas no DMARC não são suficientes para a exibição do logotipo.
Etapa 3 — Criar um logotipo SVG. O BIMI requer seu logotipo em um formato SVG específico: um arquivo SVG Tiny 1.2 de proporção quadrada com fundo sólido. A maioria dos arquivos SVG existentes precisa de pequenos ajustes para atender às especificações.
Etapa 4 — Hospedar o SVG em uma URL HTTPS pública. O arquivo deve ser acessível via HTTPS em uma URL estável e permanente no seu domínio.
Etapa 5 — Publicar o registro DNS do BIMI. Adicione um registro TXT em default._bimi.seudominio.com apontando para a localização do seu SVG e opcionalmente para seu certificado VMC ou CMC.
Etapa 6 — Obter um certificado (para exibição verificada no Gmail). Para o selo de verificação completo no Gmail, obtenha um VMC ou CMC de uma autoridade certificadora participante.
O esforço técnico é modesto — tipicamente algumas horas de trabalho distribuídas entre DNS, design e aquisição de certificado. A manutenção contínua é mínima após o registro estar ativo.
BIMI como Sinal de Entregabilidade
Além da confiança de marca visível, o BIMI traz um benefício secundário que importa para profissionais de e-mail marketing: ele sinaliza aos provedores de caixa de entrada que seu domínio de envio é maduro, bem gerenciado e comprometido com as melhores práticas de autenticação.
O posicionamento na caixa de entrada é impulsionado por uma combinação de sinais de autenticação, histórico de engajamento e reputação do remetente. Domínios que investiram na pilha completa de autenticação — SPF, DKIM, DMARC no nível de aplicação, mais BIMI — superam consistentemente domínios que param no piso de conformidade. O investimento em BIMI é simultaneamente um investimento nos sinais de reputação que impulsionam o posicionamento na caixa de entrada ao longo do tempo.
A Janela de Vantagem Competitiva Ainda Está Aberta
Com menos de 10% dos domínios elegíveis tendo publicado um registro BIMI, os primeiros a adotar ganham uma diferenciação visível que é difícil de replicar rapidamente. Seu logotipo na caixa de entrada antes do de um concorrente é — literalmente — a primeira impressão que sua marca causa no e-mail.
À medida que o phishing gerado por IA inunda as caixas de entrada com falsificações convincentemente elaboradas, os destinatários dependerão cada vez mais de pistas de identidade visual para decidir o que é seguro abrir. Os remetentes que estabeleceram esses sinais de confiança visual com antecedência terão uma vantagem de confiança significativa à medida que o ambiente de ameaças se intensificar.
Pronto para implementar o BIMI e levar sua autenticação de e-mail ao próximo nível? A Excello Mail conduz você de p=reject até a configuração do BIMI — incluindo preparação de SVG, publicação de DNS e orientação sobre certificados — em um fluxo de trabalho gerenciado. Comece seu teste gratuito em excello.email →