博客与新闻

亚信互联 认为创建成功的安全网络形象应该容易且负担得起。在这里,您将找到我们的最新 SSL 新闻,行业文章和新闻稿。

如何获得认证标志证书 (VMC) – 终极指南


我们将带您逐步完成获取和实施 VMC 的过程,因此您可以尽可能快速、轻松地开始在客户收件箱中展示您的徽标

谷歌最近宣布他们在 Gmail 中采用了邮件识别品牌指标 (BIMI) 标准,并成为提供验证标记证书 (VMC) 支持的最引人注目的邮件服务。雅虎邮件(作为 Verizon Media 的一部分)和 Fastmail 也加入了这项新计划,标志着迈向大规模采用的第一步。随着 Comcast、Seznam 和 Valimail 等其他顶级供应商处于支持的规划或试验阶段,BIMI 和 VMC 将很快在全球大量收件箱中使用。

回顾一下,BIMI 标准允许在电子邮件中的“发件人”字段旁边显示徽标。VMC 通过提供验证机制与 BIMI 协同工作,该机制确认特定徽标实际上属于该特定发件人。他们携手合作,帮助公司提升品牌知名度,并帮助将电子邮件参与率平均提高 10%。还有安全优势,因为它们通过防止攻击者不恰当地使用他们不拥有的徽标来欺骗他们的目标来帮助阻止网络钓鱼尝试。

在我们之前关于 Gmail 的 VMC 支持的文章中,我们谈到了获取和实施 VMC 证书的过程。目标是让读者大致了解如何获得经过验证的标志证书、涉及的内容,并帮助确定 VMC 是否适合他们。今天,我们将更进一步。如果您计划继续使用 VMC,那么您将需要更高级别的细节才能真正实现这一切,并最终让您的徽标显示在您客户的机器上。

那么,您的电子邮件服务器的先决条件是什么?关于你的标志的细节怎么样?你如何配置 BIMI 设置?以及如何获得经过验证的标志证书本身?

让我们来分析一下。

步骤 1 – 进行 DMARC 投诉

准备 VMC 的第一步是符合 DMARC。DMARC 究竟是什么?它代表基于域的消息身份验证、报告和一致性,并用作控制域级别策略和消息验证、处置和报告设置的手段。

DMARC 对 VMC 的要求有利于整个电子邮件生态系统作为一个整体,因为它强制邮件进行验证检查,从而创建更高级别的基线安全性。DMARC 还规定了当电子邮件未通过上述检查(例如隔离或拒绝 / 删除它们)时如何处理电子邮件。

不确定您目前在 DMARC 方面的立场?有很多免费工具可以帮助您检查当前是否为您的域安装了 DMARC,例如 MxToolbox 中的这个。下面是一个示例,说明如果您的 DMARC 记录和相关设置正常,结果应该是什么样子:

DMARC 检查

要记住的最重要的事情是您的 DMARC 记录必须包含“p=quarantine”或“p=reject”,这基本上意味着您不允许身份验证失败的邮件通过您的电子邮件系统,就好像什么都没有一样错误的。

如果您的域未通过上述任何检查,请不要担心 - 现在我们将告诉您如何为您的域设置 DMARC。如果您通过了 DMARC 检查,那就太好了!您现在可以继续下面的第 2 步。

如何设置 DMARC

1. 必须配置发件人策略框架 (SPF)。它通过让域所有者自动批准允许代表域发送邮件的服务器的 IP 地址来防止欺骗。如果服务器尝试发送邮件并且其 IP 地址不在列表中,则它不会通过 SPF 检查。

2. 收集用于从您的域发送电子邮件的 IP 地址,包括 Web 服务器、办公室邮件服务器、您的 ISP 的邮件服务器和任何其他第三方邮件服务器。

3. 编译您的发送域和非发送域。

4. 在 .txt 文件中为每个域创建一个 SPF 记录。例如:

v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:xxxx -all

v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 包括:thirdparty.com -all

通过添加带有 SPF 文本的新 TXT 记录,将您的 SPF 发布到 DNS。

5.使用 SPF 检查工具检查记录。

6.必须设置 DKIM。这是一种使用加密技术对电子邮件进行签名、验证其来源域并确保电子邮件在传输过程中未被篡改的标准。

7. 选择一个 DKIM 选择器,这是一个用户定义的字符串,添加到您的域名中以标识 DKIM 公钥。例如:

“standard._domain.example.com” = 主机名

然后为您的域生成一个公私密钥对。

对于 Windows,您可以使用 PUTTYGen。

对于 Linux 和 Mac,您可以使用 SSH-keygen。

8. 创建一个 TXT 记录,其中包含您刚刚生成的公钥对。通过您的 DNS 控制台发布它。例如:

v=DKIM1; p=你的公钥

您可以使用 DKIM 检查工具检查记录。至于您的私钥,请将其存储在您的电子邮件平台指定的任何位置。一些电子邮件提供商会指导您设置 CNAME 记录以进行 DKIM 身份验证。总体而言,DKIM 步骤可能因您的提供商而异,因此请务必与他们核实。

9. 通过创建 DNS 记录并将其命名为类似于以下内容来配置 DMARC 监控模式:“_dmarc.your_domain.com. 例如:

v=DMARC;p=quarantine;pct=100;rua=mailto:[email protected]_domain.com

10. 上面的例子设置了“p=quarantine”。对于您的 VMC,它可以设置为 that 或“p=reject”。如果您不确定选择哪个,一种方法是先将其设置为“隔离”,然后进行一段时间的人工审核。然后,您可以相应地更新您的 SPF 记录,并在您的过滤达到需要时最终将设置更改为“拒绝”。拒绝意味着未通过 DMARC 的电子邮件将被删除。

上面的例子还设置了“pct=100”。您可以从较低的值开始(它只会过滤一定百分比的消息),直到您感到满意为止,最终达到 100。

其他一些杂项注意事项 - 您需要确保为用于发送电子邮件的所有服务器设置 SPF 和 DKIM 身份验证。如果您跳过服务器,它将不会发送它发送的电子邮件。此外,您无需等待 DMARC 设置完毕即可启动 VMC 流程——DMARC 检查是证书验证程序的一部分,因此它们可以在一定程度上协同工作。

第 2 步 – 使用商标徽标

现在您的电子邮件已正确配置,我们可以继续使用徽标本身。首先,标志必须是商标。此要求的原因是商标标识更难欺骗。毕竟,它已经过联邦和 / 或国际层面的审查。

 如果您不确定贵组织的徽标,可以在世界知识产权组织 (WIPO) 网站 ( https://www3.wipo.int/branddb/en/ ) 上搜索。它会告诉您它是否被列为有效注册商标。

此外,只有某些商标局被批准用于 VMC。目前,有八个被认可:

  • 美国专利商标局(USPTO),
  • 加拿大知识产权局,
  • 欧盟知识产权局,
  • 英国知识产权局,
  • Deutsches Patent- und Markenamt,
  • 日本商标局,
  • 西班牙专利商标局 OA,
  • 澳大利亚知识产权局。

如果您的徽标未注册商标,我们建议您立即启动该流程,因为这可能需要一段时间。最好的起点是与您的法律团队交谈。如果您没有法律代表,根据您所在的司法管辖区,这不一定是必需的,但我们强烈建议您这样做。

您需要您的商标采用正确的格式才能注册。

然后,您需要执行以下操作:

  1. 确定您的组织提供的商品和服务,这是商标要求的一部分。
  2. 在适当的司法管辖区搜索以验证您的标记与任何其他标记不太相似。每个商标局都应该有自己的搜索工具,您可以在此处找到 USPTO。
  3. 收集申请所需的信息。这是 USPTO 的所需清单。
  4. 开始归档过程。确保您了解截止日期,因为它们很严格。

在您提交申请后,商标局的审查员将审核您的申请并最终与您联系。他们的要求会根据您的案件的具体情况而有所不同,但请务必及时回复,否则您的申请可能会被取消。在流程结束时,您最终会收到批准或拒绝的通知。

第 3 步 – 格式化您的徽标

您的徽标必须采用可缩放矢量图形 (.SVG) 格式,并且必须符合 SVG Portable/Secure (SVG-P/S) 配置文件。不幸的是,目前在 Adobe Illustrator 中没有它的导出模板。然而,好消息是只需要几个额外的步骤就可以让您的徽标采用正确的格式,我们将在下面概述:

  1. 将您的徽标转换为矢量格式。为此,您可以将徽标保存为适当的文件类型,例如“.ai”、“.eps”、“.pdf”或“.svg”。注意 - 如果您的徽标具有复杂的艺术效果,您可能需要进行一些调整以使其正确显示。
  2. 导出为 SVG Tiny 1.2。
    • 在 Adobe Illustrator 中打开您的文件
    • 选择“另存为”,然后从“格式”下拉菜单中选择 SVG。
保存为 svg 类型

点击“保存”。

3. 应出现另一个对话框。从“SVG Profiles”下拉菜单中选择“Tiny 1.2”,然后单击“OK”。

保存为 svg tiny 1.2

使用文本编辑器(例如记事本)打开 SVG 文件。您也可以使用代码编辑器。

  • 验证您是否在标题中的某处看到以下内容:

xmlns=http://www.w3.org/2000/svg,版本=”1.2,baseProfile=”tiny-ps“

                                例如,您可能会看到这样的字符串:

<svg version=”1.2″ baseProfile=”tiny-ps” id=”Layer_1″ xmlns=”http://www.w3.org/2000/svg” xmlns:xlink=”http://www.w3.org /1999/xlink” viewBox=”0 0 1080 1080“ xml:space=”preserve”>

如果您从 Illustrator 导出,您需要将 baseProfile 更改为 tiny-ps,并删除 x=、y= 和溢出项。

svg 文本编辑 1
  • 添加标题元素。在 xml:space=”preserve” 之后点击 return 并将带有您公司名称的标题元素放在那里。确保您没有将标题放在图形代码本身中。
svg 文本编辑 2
  • 保存文件的同时确保将其保留为 SVG 格式。

还有另一种选择,需要更少的跑腿工作。BIMI 工作组发布了一个 Adobe Illustrator 导出脚本,可让用户自动将 SVG Tiny 1.2 文件转换为 SVG P/S 格式

.

最后,无论您使用哪种方法,我们都建议您遵循以下准则,以使您的徽标以最佳方式显示:

  • 使用 1:1 纵横比
  • 将您的图像居中
  • 使用不透明的背景

接下来,我们将介绍如何获得经过验证的标记证书。

第 4 步 - 购买您的 VMC

接下来,您将着手购买 VMC。SSL Store 是首批提供 VMC 的值得信赖的供应商之一,我们将在有限的时间内提供 DigiCert VMC 的特别介绍价。

购买经过验证的标志证书

大多数组织的域只需要一个 VMC。多 SAN VMC 可用于保护多个域的人。但是,如果您使用多个徽标,则每个徽标都需要一个 VMC。您可以在此处找到有关将多个域与 VMC 一起使用的更多详细信息。

购买 VMC 后,您将经历类似于 EV SSL 证书的验证过程。不过为了增加安全性,还有一些额外的步骤,例如:

  • 确认您的徽标是注册商标
  • 提供与贵组织中申请 VMC 的个人有关的身份证明文件的公证副本
  • 与证书颁发机构验证团队成员的面对面通话或视频通话,以确认您的身份与提供的身份证件相符

完成这些步骤后,您的 VMC 将被发放。

步骤 5 – 将 VMC 上传到您的 Web 服务器

既然我们已经了解了如何获取经过验证的标记证书,下一步是将证书上传到您的服务器。颁发 VMC 后,您将收到一封电子邮件,其中包含您的实体证书隐私增强邮件 (PEM) 文件。如果您从 CA 收到任何其他中间证书,请将它们附加到 PEM 文件中。接下来,将您的 PEM 文件上传到您的公共 Web 服务器并记下该文件的 URL,因为您将在下一步中需要它。

步骤 6 – 向您的域添加 BIMI TXT 记录

接下来,您将创建 BIMI TXT 记录,然后将其添加到您的托管服务提供商的 DNS 中:

  • 首先,创建您的 BIMI 记录。您需要之前记下的 PEM 文件位置和 SVG 徽标文件的位置。您将按照以下示例格式化您的 BIMI 记录:

v=BIMI1;l=https://images.yourdomain.com/brand/bimi-logo.svg;a=https://images.yourdomain.com/brand/certificate.pem

  • 将您的 BIMI 记录添加为您的域提供商的 DNS TXT 记录。具体步骤因您的提供商而异,但您将输入以下值:
场地价值描述
类型文本DNS 记录类型
主持人default._bimi.yourdomain.com输入“default._bimi”,然后是您的根域
价值v=BIMI1;l=https://images.yourdomain.com/brand/ bimilogo.svg;a=https://images.yourdomain.com/brand/certificate.pem你的 BIMI 记录
TTL1 小时(3600 秒)设置为 1 小时
  • 然后,等待 48 小时让您的徽标开始通过 BIMI 显示。您还可以使用 BIMI Group 的工具检查您的 BIMI 记录。
  • 通过发送测试电子邮件确认您的徽标显示正确。然后,就是这样!你完成了。现在您确切地知道如何获得经过验证的标记证书。那还不错,是吗?

支持电子邮件的发展

VMC 和 BIMI 是令人兴奋的新创新,它们为电子邮件世界带来了新的变化,帮助组织在数字世界中进一步发展。既然您知道如何获得经过验证的标记证书 (VMC),您就可以开始享受它们提供的营销和安全优势了。当涉及到您的 VMC 时,SSL Store™ 屡获殊荣的客户体验团队会为您提供 24/7 全天候专家支持,帮助您充分利用这些优势。

购买经过验证的标志证书

上一篇:什么是安全中的 TPM?可信平台模块说明 [2021年08月03日]

下一篇:DigiCert 2021 年 PKI 自动化研究的 4 个要点 [2021年10月09日]