57、品牌信息识别指标（BIMI）的初步研究

最新推荐文章于 2025-11-18 10:39:35 发布

raspberrypi5

最新推荐文章于 2025-11-18 10:39:35 发布

阅读量44

点赞数

CC 4.0 BY-SA版权

分类专栏：探秘PAM 2023：网络测量与安全前沿文章标签： BIMI 品牌信息识别指标邮件安全

本文链接：https://blog.youkuaiyun.com/raspberrypi5/article/details/149737783

探秘PAM 2023：网络测量与安全前沿专栏收录该内容

70 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

品牌信息识别指标（BIMI）的初步研究

1. BIMI基本数据统计

证书颁发机构频率
| 颁发机构 | 数量 |
| — | — |
| Entrust, Inc | 166 |
| Digicert, Inc | 225 |
| Sectigo Limited | 2 |
| Let’s Encrypt | 3 |

目前，除Entrust和Digicert之外的机构颁发的证书对BIMI无效，在收集的证书中有五例这种情况，且这些证书不包含徽标图像，而Entrust和Digicert颁发的证书都包含图像数据。
- BIMI配置策略
| | 拒绝 | 隔离 | 无 |
| — | — | — | — |
| 拒绝 | 258 | 6 | 4 |
| 隔离 | 2 | 114 | 2 |
| 无 | 0 | 0 | 6 |

表中粗体数字表示策略违规数量，共有12例违规。

2. 徽标图像问题分析

SVG标签 ：有1224个（40.3%）徽标图像不符合svg标签格式。
Desc标签 ：总共2905个（95.7%）徽标图像不包含desc标签。
图像大小 ：共有241个（7.9%）徽标图像超过了建议的32KB。
宽高比 ：建议徽标宽高比为1:1，有496个（16.3%）徽标图像不满足该比例。

3. VMC分析

证书颁发机构 ：当前只有Entrust和Digicert颁发的证书对BIMI有效，其他机构颁发的五例证书无徽标图像。
证书有效期 ：分析收集的证书有效期，发现13个证书已过期，其中包括Entrust使用的entrustdatacard.com域名，不过该域名仍可访问BIMI记录、徽标和证书链接。
VMC提取图像合法性 ：验证从VMC提取的391个徽标图像与BIMI记录URL收集的徽标是否匹配，发现45个域名的两组徽标存在差异，如使用完全不同图像、文件中有换行符、图像大小不同和SVG标题不同等。

4. DMARC策略违规情况

分析396个使用Level 3 BIMI设置的域名的DMARC策略，其中四个域名没有DMARC配置。

5. BIMI现状讨论

普及程度 ：与其他安全机制相比，BIMI采用率相对较高，因其设置相对简单，包括设置BIMI记录和注册SVGs。但只有一小部分域名正确配置到VMC，因为设置VMC增加难度和成本。
配置错误 ：网络上有很多介绍BIMI设置的文档，但可能未正确介绍SVG转换工具和BIMI配置检查工具，导致配置错误。未来需进一步推广这些工具，让管理员能自查设置是否正确。
滥用情况 ：目前未发现BIMI在钓鱼邮件或钓鱼网站域名中的滥用证据。但因BIMI未全面部署，用户不熟悉，不能保证未来攻击者不会滥用，需持续监控。
扩展挑战 ：当前BIMI采用率不高。部分邮件用户代理（MUAs）不支持BIMI，希望MUA供应商认识到其有效性并尽快实现支持，同时提供可用界面。降低BIMI设置成本，提供开放工具和注册流程知识，可增加其普及度。

6. 研究局限性

查询数量 ：为避免目标过载，仅发送最少数量（最多三个）的查询，若目标服务器在研究期间离线，数据可能未正确获取。
选择器调查 ：仅调查了BIMI和DKIM的特定选择器，若目标为每个发送目的地使用单独选择器，可能被判定为不支持。
视角缺失 ：未从管理员和邮件接收者角度阐明BIMI现状，需进行访谈研究来调查设置问题和有效性。

7. 虚假徽标注册可能性

注册品牌徽标需商标注册，理论上可增加虚假徽标注册难度。约90%有BIMI记录的域名在无有效证书下运行，部分邮件客户端不验证证书就显示徽标。通过感知哈希（pHash）分析，发现一些域名使用相同徽标，多为同一服务不同顶级域名，有一个域名使用Digicert徽标用于不同服务，判定为配置错误，目前未发现明显虚假徽标，将持续监控。

8. 伦理考虑

研究发现一些域名BIMI设置错误，为避免滥用，将通知这些域名的管理员，特别是VMC配置有误和仅配置了SVG的域名。

9. 主要邮件用户代理的BIMI实现情况

邮件用户代理	网站1（完美配置）	网站2（仅徽标有效）
Gmail（Chrome 107.0.5304.87）	✓	-
Fastmail（Chrome 107.0.5304.87）	✓	✓
Yahoo Mail（Chrome 107.0.5304.87）	✓	-
Apple Mail（iOS 16）	✓	-
Gmail 6.0.221016（iOS 16）	✓	-
Gmail 2022.09.18.479203120（Xperia Z4，Android 6）	✓	-
Gmail 2022.09.18.479203120（Galaxy S6 edge，Android 7）	✓	-
Microsoft Outlook（Windows 10，版本2202）	-	-
Thunderbird（Windows 10，版本102.3.3）	-	-

从表格可以看出，Gmail、Yahoo Mail、Apple Mail和各版本Gmail应用能正确实现BIMI；Fastmail显示正确配置域名的徽标但不验证VMC，存在被钓鱼攻击利用风险，已进行责任披露；截至2022年11月，Outlook和Thunderbird不支持BIMI。

10. 采用BIMI的域名分类

级别	排名	类别	数量
Level 1	1	计算机与电子	697
Level 1	2	未知	406
Level 1	3	金融	373
Level 1	4	商业和消费者服务	269
Level 1	5	科学与教育	197
Level 1	6	健康	158
Level 1	7	生活方式	155
Level 1	8	电子商务与购物	140
Level 1	9	旅游与观光	133
Level 1	10	食品与饮料	127
Level 3	1	金融	66
Level 3	2	计算机与电子	59
Level 3	3	生活方式	29
Level 3	4	商业和消费者服务	28
Level 3	5	电子商务与购物	26
Level 3	6	艺术与娱乐	26
Level 3	7	健康	25
Level 3	8	新闻与媒体	20
Level 3	9	食品与饮料	17
Level 3	10	旅游与观光	15

Level 1网站主要集中在计算机与电子、金融和商业领域；Level 3中金融类排名第一，可能是因为金融网站易成钓鱼攻击目标，所以更积极采用BIMI措施。

11. 总结与展望

本次研究首次大规模测量了BIMI，发现百万域名中有3538个已有BIMI记录，但存在配置错误和规范违规情况，未发现滥用证据。未来工作包括开发让管理员轻松正确配置BIMI的工具，对管理员和用户进行访谈了解采用动机，持续测量采用情况，希望研究结果有助于BIMI推广和防范钓鱼攻击。

mermaid格式流程图展示BIMI配置流程：

graph LR
    A[开始] --> B[设置BIMI记录]
    B --> C[注册SVGs]
    C --> D{是否配置VMC}
    D -- 是 --> E[获取有效证书]
    D -- 否 --> F[完成基本配置]
    E --> G[验证徽标与证书匹配]
    G --> H[配置DMARC策略]
    H --> I[完成全部配置]
    F --> I

通过以上内容，我们对BIMI的现状、问题和未来发展有了更清晰的认识，希望能为相关人员提供有价值的参考。

品牌信息识别指标（BIMI）的初步研究

12. 主要邮件用户代理（MUAs）对 BIMI 的支持情况详细分析

在评估 MUAs 对 BIMI 的支持时，选取了一些常见的网络邮件服务和电子邮件客户端应用进行测试。
- 网络邮件服务
- Gmail ：使用 Google Chrome 浏览器访问时，对于配置完美的 Website 1 能正确显示 BIMI 徽标，而对于仅徽标有效的 Website 2 则不显示，说明其能正确实现 BIMI 功能。
- Fastmail ：同样在 Chrome 浏览器下，对配置正确的域名会显示 BIMI 徽标，但不验证 VMC，这可能会被钓鱼攻击利用，目前已对其进行责任披露。
- Yahoo Mail ：在 Chrome 环境中，和 Gmail 一样能正确处理 BIMI 徽标的显示，符合 BIMI 规范。
- 电子邮件客户端应用
- Apple Mail ：在 iOS 16 系统下，能正确显示配置完美的 Website 1 的 BIMI 徽标，对 Website 2 不显示，实现了正确的 BIMI 功能。
- Gmail 应用 ：无论是在 iOS 还是 Android 系统的不同版本中，都能正确处理 BIMI 徽标的显示，与网页版 Gmail 表现一致。
- Microsoft Outlook ：截至 2022 年 11 月，在 Windows 10 系统（版本 2202）下，对两个测试网站的 BIMI 徽标均不显示，表明其不支持 BIMI。
- Thunderbird ：在 Windows 10 系统（版本 102.3.3）中，同样不支持 BIMI 徽标的显示。

以下表格总结了各 MUAs 对 BIMI 的支持情况：
| MUAs 类型 | MUAs 名称 | Website 1（完美配置） | Website 2（仅徽标有效） |
| — | — | — | — |
| 网络邮件服务 | Gmail（Chrome 107.0.5304.87） | ✓ | - |
| 网络邮件服务 | Fastmail（Chrome 107.0.5304.87） | ✓ | ✓ |
| 网络邮件服务 | Yahoo Mail（Chrome 107.0.5304.87） | ✓ | - |
| 电子邮件客户端应用 | Apple Mail（iOS 16） | ✓ | - |
| 电子邮件客户端应用 | Gmail 6.0.221016（iOS 16） | ✓ | - |
| 电子邮件客户端应用 | Gmail 2022.09.18.479203120（Xperia Z4，Android 6） | ✓ | - |
| 电子邮件客户端应用 | Gmail 2022.09.18.479203120（Galaxy S6 edge，Android 7） | ✓ | - |
| 电子邮件客户端应用 | Microsoft Outlook（Windows 10，版本 2202） | - | - |
| 电子邮件客户端应用 | Thunderbird（Windows 10，版本 102.3.3） | - | - |

13. 采用 BIMI 的域名分类深入解读

对采用 BIMI 的域名进行分类，有助于了解不同行业对 BIMI 的接受程度和需求。
- Level 1 域名分类
- 计算机与电子 ：以 697 个的数量位居榜首，这表明该行业对信息安全和品牌标识展示较为重视，通过 BIMI 可以更好地保护用户免受钓鱼攻击，同时提升品牌形象。
- 金融：有 373 个域名采用 BIMI，金融行业涉及大量资金交易和敏感信息，是钓鱼攻击的重点目标，因此积极采用 BIMI 来增强安全性。
- 商业和消费者服务 ：269 个域名采用，该行业需要与客户进行频繁的邮件沟通，使用 BIMI 可以提高邮件的可信度和品牌辨识度。
- Level 3 域名分类
- 金融：排名第一，有 66 个域名。再次证明金融行业对 BIMI 的高度需求，为了保护用户资金安全和品牌声誉，会更积极地进行全面的 BIMI 配置。
- 计算机与电子 ：59 个域名采用，在 Level 3 中也占据重要地位，说明该行业在不断深化对 BIMI 的应用。

以下是分类表格的再次呈现，方便对比：
| 级别 | 排名 | 类别 | 数量 |
| — | — | — | — |
| Level 1 | 1 | 计算机与电子 | 697 |
| Level 1 | 2 | 未知 | 406 |
| Level 1 | 3 | 金融 | 373 |
| Level 1 | 4 | 商业和消费者服务 | 269 |
| Level 1 | 5 | 科学与教育 | 197 |
| Level 1 | 6 | 健康 | 158 |
| Level 1 | 7 | 生活方式 | 155 |
| Level 1 | 8 | 电子商务与购物 | 140 |
| Level 1 | 9 | 旅游与观光 | 133 |
| Level 1 | 10 | 食品与饮料 | 127 |
| Level 3 | 1 | 金融 | 66 |
| Level 3 | 2 | 计算机与电子 | 59 |
| Level 3 | 3 | 生活方式 | 29 |
| Level 3 | 4 | 商业和消费者服务 | 28 |
| Level 3 | 5 | 电子商务与购物 | 26 |
| Level 3 | 6 | 艺术与娱乐 | 26 |
| Level 3 | 7 | 健康 | 25 |
| Level 3 | 8 | 新闻与媒体 | 20 |
| Level 3 | 9 | 食品与饮料 | 17 |
| Level 3 | 10 | 旅游与观光 | 15 |

14. BIMI 未来发展建议

工具开发 ：开发专门的工具，让域名管理员能够轻松、正确地配置 BIMI 设置。这些工具可以集成 SVG 转换、VMC 验证、DMARC 策略配置等功能，减少配置错误的发生。
用户访谈 ：对域名管理员和电子邮件用户进行访谈，了解他们采用 BIMI 的动机和遇到的问题。对于管理员，可能关注的是配置的复杂性和成本；对于用户，可能关心的是 BIMI 徽标带来的实际价值和使用体验。
持续测量 ：持续测量 BIMI 的采用情况，了解其在不同行业、不同规模企业中的普及程度，以及随着时间推移的变化趋势。根据测量结果，及时调整推广策略和技术改进方向。

15. 总结

本次对 BIMI 的研究全面且深入，涵盖了 BIMI 的各个方面，包括徽标图像问题、VMC 分析、DMARC 策略违规、MUAs 支持情况以及域名分类等。虽然 BIMI 目前存在一些配置错误和规范违规问题，但也展现出了较高的采用潜力。通过持续的研究和改进，开发易用的工具，加强用户教育，BIMI 有望在未来得到更广泛的应用，为电子邮件通信的安全和品牌标识展示提供有力保障。

mermaid 格式流程图展示未来 BIMI 发展方向：

graph LR
    A[当前 BIMI 现状] --> B[开发配置工具]
    A --> C[用户访谈]
    A --> D[持续测量]
    B --> E[减少配置错误]
    C --> F[了解用户需求]
    D --> G[掌握发展趋势]
    E --> H[提高采用率]
    F --> H
    G --> H
    H --> I[BIMI 广泛应用]

通过以上内容，我们对 BIMI 有了全面的认识，希望能为相关人员在 BIMI 的应用和推广方面提供有价值的参考，共同推动 BIMI 技术的发展，提升电子邮件通信的安全性和品牌形象。