Por qué BIMI no se visualiza: causas técnicas y errores comunes

Brand Indicators for Message Identification (BIMI) permite que los dominios con autenticación completa (SPF, DKIM y DMARC) muestren su logotipo verificado en la bandeja de entrada de los usuarios.

Sin embargo, muchos administradores notan que, incluso con todo configurado correctamente, el logo BIMI no aparece en Gmail, Yahoo u otros proveedores.

Veamos las razones más frecuentes y cómo resolverlas, basadas en el estándar oficial y en el comportamiento real de los mailbox providers.

1. Comprender el proceso de visualización BIMI

El flujo técnico se describe en el borrador oficial del IETF (Brand Indicators for Message Identification): los propietarios de dominios publican sus indicadores de marca vía DNS; cuando un proveedor recibe un mensaje, lo autentica; si pasa la autenticación, consulta el DNS por un registro BIMI; y si existe, puede usar el logo de la marca al mostrar ese mensaje en la bandeja de entrada.

BIMI no es un protocolo independiente, sino una “recompensa visual” que los proveedores de correo otorgan a los dominios con autenticación fuerte y buena reputación.

2. El tiempo de visualización depende del proveedor

Cada mailbox provider (Gmail, Yahoo, Fastmail, Apple Mail, etc.) tiene su propio sistema interno para determinar cuándo mostrar el logo BIMI. Cada uno aplica sus propios criterios.

En la práctica, esto significa que incluso con un BIMI correcto, el logo puede tardar días o semanas en mostrarse, o no hacerlo hasta que el dominio gane suficiente “confianza” (trust level) en el ecosistema.

3. Errores y causas técnicas más frecuentes

a) Política DMARC insuficiente o fuentes mal alineadas

BIMI solo se activa cuando el dominio tiene una política DMARC en cuarentena o rechazo y todas las fuentes legítimas están correctamente autenticadas con SPF y/o DKIM alineados.

Requisitos mínimos

• Política DMARC: p=reject o p=quarantine; pct=100.
• SPF y DKIM deben pasar y estar alineados con el dominio del campo From (RFC5322.From): spf=pass y dkim=pass coincidiendo con el dominio visible del remitente.

Errores DMARC comunes que impiden la visualización del logo

1. Política DMARC en none o pct<100 → el dominio no aplica ninguna acción de protección.
2. Fuentes externas sin DKIM firmado → correos legítimos desde CRM, newsletters o ERP que no firman con el dominio principal.
3. Fuentes con include incorrecto en SPF → el mensaje pasa SPF pero con un dominio de tercero, sin alineación.
4. Uso de redirect= en SPF → puede impedir la alineación SPF y reducir la probabilidad de mostrar el logo si DKIM no compensa.
5. Selectores DKIM desactualizados o de subdominios → el correo firma con mail.provider.com y no con example.com.
6. Uso de r (relaxed) en adkim o aspf que genera inconsistencias si las fuentes usan subdominios distintos.
7. Alineación parcial (solo DKIM o solo SPF) → DMARC lo considera válido, pero el proveedor puede reducir la confianza y no activar BIMI.

b) DKIM con clave débil (1024 bits)

Aunque el estándar BIMI no define el tamaño de clave, Gmail y Yahoo recomiendan o exigen DKIM de 2048 bits por seguridad. Dominios con claves de 1024 bits a menudo pasan DMARC, pero no obtienen el nivel de confianza necesario para mostrar el logo.

Solución: regenerar la clave DKIM a 2048 bits y publicarla en DNS.

c) Logo en formato incorrecto

El logo debe estar en formato SVG Tiny Portable/Secure (SVG P/S), sin transparencias ni capas externas. Formatos incorrectos (SVG estándar, PNG, JPG o SVG con metadatos complejos) pueden hacer que el logo sea rechazado.

d) Falta o error en el registro BIMI

El registro BIMI se publica en default._bimi.tudominio.com y debe tener esta sintaxis:

v=BIMI1; l=https://tudominio.com/logo.svg; a=https://tudominio.com/logo.vmc

Errores comunes: espacios innecesarios, falta de v=BIMI1, logo no accesible por HTTPS, o archivo VMC/CMC inexistente o con URL incorrecta.

e) Falta de certificado VMC o CMC

Los proveedores, especialmente Gmail, requieren un certificado de marca verificado:

• VMC (Verified Mark Certificate) → requiere logo registrado en una oficina de propiedad intelectual aprobada.
• CMC (Common Mark Certificate) → disponible solo por DigiCert, permite validar logotipos usados públicamente por más de un año.

Sin este certificado, Gmail puede no mostrar el logo, aunque BIMI esté configurado.

f) Baja reputación o dominio recién autenticado

Incluso con autenticación completa, los proveedores aplican filtros de reputación (engagement, quejas de spam, volumen de envío). Los dominios nuevos o inactivos suelen tener que esperar hasta ganar credibilidad antes de que el logo aparezca.

g) Múltiples subdominios sin alineación DMARC

Si los subdominios envían correos con políticas distintas o sin DMARC alineado, el proveedor puede ignorar el BIMI del dominio principal.

Solución: establecer políticas DMARC coherentes en todos los subdominios y firmar todos los mensajes con DKIM alineado al dominio raíz.

Buenas prácticas para asegurar la visualización de BIMI

Conclusión

BIMI no siempre falla por un error de configuración; su visualización depende de la confianza del proveedor y del nivel de autenticación del dominio. Aun con todo correcto, puede tardar días o semanas en aparecer. Para maximizar la compatibilidad, asegúrate de:

1. Usar DKIM de 2048 bits.
2. Tener DMARC en política de cuarentena o rechazo.
3. Publicar el logo BIMI y, de ser posible, obtener un VMC/CMC válido.
4. Mantener reputación positiva y consistencia entre todos los subdominios.