Contáctanos
CMCCiberseguridadSoporteVMC

Por qué BIMI no se visualiza: causas técnicas y errores comunes

Brand Indicators for Message Identification (BIMI) permite que los dominios con autenticación completa (SPF, DKIM y DMARC) muestren su logotipo verificado en la bandeja de entrada de los usuarios.

Sin embargo, muchos administradores notan que, incluso con todo configurado correctamente, el logo BIMI no aparece en Gmail, Yahoo u otros proveedores.

Veamos las razones más frecuentes y cómo resolverlas, basadas en el estándar oficial y en el comportamiento real de los mailbox providers.

1. Comprender el proceso de visualización BIMI

El flujo técnico se describe en el borrador oficial del IETF (Brand Indicators for Message Identification):

“Domain owners (brands) publish brand assertions for domains via DNS.
Then, for any email message received by a mailbox provider, the mailbox provider authenticates the message.
If the message passes authentication, the mailbox provider queries the DNS for a corresponding BIMI record.
If a BIMI record is present, the mailbox provider can use the brand (logo) with the display of that message in the inbox.”

AuthIndicators Working Group – BIMI Draft

En otras palabras, BIMI no es un protocolo independiente, sino una “recompensa visual” que los proveedores de correo otorgan a los dominios con autenticación fuerte y buena reputación.

2. El tiempo de visualización depende del proveedor

Cada mailbox provider (Gmail, Yahoo, Fastmail, Apple Mail, etc.) tiene su propio sistema interno para determinar cuándo mostrar el logo BIMI.

Nota del documento oficial:

Each participating mailbox provider has their own criteria for determining when a domain’s BIMI logo may be displayed. Please see the Senders FAQ for more guidance.”AuthIndicators Working Group

En la práctica, esto significa que incluso con un BIMI correcto, el logo puede tardar días o semanas en mostrarse, o no hacerlo hasta que el dominio gane suficiente “confianza” (trust level) en el ecosistema.

3. Errores y causas técnicas más frecuentes

a) Política DMARC insuficiente o fuentes mal alineadas

BIMI solo se activa cuando el dominio tiene una política DMARC en cuarentena o rechazo y todas las fuentes legítimas (servicios que envían correo en nombre del dominio) están correctamente autenticadas con SPF y/o DKIM alineados.

Requisitos mínimos:

  • Política DMARC: p=reject o p=quarantine; pct=100
  • SPF y DKIM deben pasar y estar alineados con el dominio del campo From (RFC5322.From).

    Es decir, los resultados deben ser:

    • spf=pass (domain=example.com)

    • dkim=pass (domain=example.com) y ambos deben coincidir con el dominio visible del remitente.

Errores DMARC comunes que impiden la visualización del logo BIMI:

  1. Política DMARC en “none” o pct <100 → el dominio no aplica ninguna acción de protección.
  2. Fuentes externas sin DKIM firmado → correos legítimos desde sistemas como CRM, newsletters o ERP que no firman con el dominio principal.
  3. Fuentes con “include” incorrecto en SPF → el mensaje pasa SPF pero con un dominio de tercero, por lo tanto no hay alineación.
  4. Uso de Redirect= en SPF →  si bien no rompe BIMI, puede impedir la alineación SPF y, por ende, reducir la probabilidad de que el logo BIMI se muestre, especialmente si DKIM no compensa con una firma alineada y fuerte.
  5. Selectores DKIM desactualizados o de subdominios → el correo firma con mail.provider.com y no con example.com.
  6. Uso de “r” (relaxed) en adkim o aspf que genera inconsistencias si las fuentes usan subdominios distintos.
  7. Alineación parcial (solo DKIM o solo SPF) → DMARC considera válido el mensaje, pero el proveedor puede reducir la confianza y no activar BIMI.
b) DKIM con clave débil (1024 bits)

Aunque el estándar BIMI no define tamaño de clave, Gmail y Yahoo recomiendan o exigen DKIM de 2048 bits por seguridad.

Dominios con claves de 1024 bits a menudo pasan DMARC, pero no obtienen el nivel de confianza necesario para mostrar el logo.

Mailbox providers may not display BIMI logos if DKIM keys are smaller than 2048 bits.”PowerDMARC BIMI Guide

Solución: regenerar la clave DKIM a 2048 bits y publicarla en DNS.

c) Logo en formato incorrecto

El logo debe estar en formato SVG Tiny Portable/Secure (SVG P/S), sin transparencias ni capas externas.

Formatos incorrectos (SVG estándar, PNG, JPG o SVG con metadatos complejos) pueden hacer que el logo sea rechazado.

Solución: ver instrucciones de formato correcto del logotipo

d) Falta o error en el registro BIMI

El registro BIMI se publica en:

default._bimi.tudominio.com

y debe tener esta sintaxis:

v=BIMI1; l=https://tudominio.com/logo.svg; a=https://tudominio.com/logo.vmc

Errores comunes:

  • Espacios innecesarios
  • Falta de v=BIMI1
  • Logo no accesible por HTTPS
  • Archivo VMC o CMC inexistente o con URL incorrecta
e) Falta de certificado VMC o CMC

Los proveedores, especialmente Gmail, requieren un certificado de marca verificado:

  • VMC (Verified Mark Certificate) → requiere logo registrado en una oficina de propiedad intelectual aprobada. Ver listado de países autorizador acá

  • CMC (Common Mark Certificate) → disponible solo por DigiCert, permite validar logotipos usados públicamente por más de un año.

Sin este certificado, Gmail puede no mostrar el logo, aunque BIMI esté configurado.

f) Baja reputación o dominio recién autenticado

Incluso con autenticación completa, los proveedores aplican filtros de reputación (engagement, quejas de spam, volumen de envío).

Los dominios nuevos o inactivos suelen tener que esperar hasta ganar credibilidad antes de que el logo aparezca.

g) Múltiples subdominios sin alineación DMARC

Si los subdominios envían correos con políticas distintas o sin DMARC alineado, el proveedor puede ignorar el BIMI del dominio principal.

Solución: establecer políticas DMARC coherentes en todos los subdominios y firmar todos los mensajes con DKIM alineado al dominio raíz.

Buenas prácticas para asegurar la visualización de BIMI
Requisito Valor recomendado
DMARC p=reject o p=quarantine; pct=100
DKIM Clave RSA 2048 bits (alineada al dominio del From); rotación periódica de selectores
SPF Registro válido con <10 lookups, ≤2 void lookups, y -all; mantener include y/o flattening actualizados
Logo Archivo SVG Tiny PS, formato cuadrado, accesible por HTTPS, sin transparencias/capas problemáticas
Certificado VMC (o CMC) vigente y hospedado en URL HTTPS pública
DNS BIMI Publicar default._bimi.tudominio.com con:
v=BIMI1; l=https://tudominio.com/logo.svg; a=https://tudominio.com/logo.vmc

Conclusión

BIMI no siempre falla por un error de configuración; su visualización depende de la confianza del proveedor y del nivel de autenticación del dominio.

Aun con todo correcto, puede tardar días o semanas en aparecer.

Para maximizar la compatibilidad, asegúrate de:

  1. Usar DKIM de 2048 bits

  2. Tener DMARC en política de cuarentena o rechazo

  3. Publicar el logo BIMI y, de ser posible, obtener un VMC/CMC válido

  4. Mantener reputación positiva y consistencia entre todos los subdominios.

Compartir:

Asegure su correo electrónico

Detenga la suplantación de correo electrónico y mejore la capacidad de entrega del correo electrónico

¡Prueba gratuita de 15 días!

¡Regístrate Gratis!