El Requisito de DMARC p=reject para BIMI Explicado
El Requisito de DMARC p=reject para BIMI Explicado
La mayoría de las implementaciones fallidas de BIMI se remontan a una única causa: una política DMARC incorrecta. Las organizaciones se centran en generar el archivo de logotipo SVG y pasan por alto el requisito de autenticación que determina si el logotipo se muestra en absoluto.
BIMI es un protocolo de seguridad, no una función de marca. Los proveedores de correo muestran tu logotipo solo después de verificar criptográficamente que el mensaje se originó desde tu dominio [1].
Este artículo describe el prerrequisito DMARC para BIMI, compara las tres políticas de aplicación y especifica cómo preparar tu dominio.
¿Qué es DMARC?
Domain-based Message Authentication, Reporting, and Conformance (DMARC) es un estándar de autenticación de correo electrónico que impide que remitentes no autorizados utilicen tu dominio en el encabezado From.
DMARC se basa en dos protocolos subyacentes:
- SPF (Sender Policy Framework): Verifica que la dirección IP de envío está autorizada por el propietario del dominio.
- DKIM (DomainKeys Identified Mail): Aplica una firma criptográfica a cada mensaje para que el receptor pueda confirmar que el mensaje no fue modificado en tránsito.
El registro DMARC indica a los servidores receptores, como Gmail y Yahoo, cómo manejar los mensajes que fallan tanto SPF como DKIM.
Las Tres Políticas DMARC
Publicas tu registro DMARC como un registro TXT en tu zona DNS. La etiqueta p= define la política de aplicación.
1. p=none (Modo de Monitoreo)
El servidor receptor entrega los mensajes que fallan a la bandeja de entrada y envía informes agregados a la dirección que especifiques. Utiliza esta política para identificar fuentes de envío legítimas antes de pasar a la aplicación.
Estado BIMI: ❌ Rechazado. Los proveedores de correo no muestran logotipos BIMI para dominios en p=none.
2. p=quarantine (Modo de Aplicación)
El servidor receptor dirige los mensajes que fallan a la carpeta de spam o correo no deseado.
Estado BIMI: ✅ Aceptado. Esta es la política mínima que califica para BIMI. La política debe aplicarse al 100% de los mensajes. Incluye pct=100 u omite la etiqueta pct (el valor predeterminado es 100).
3. p=reject (Modo de Aplicación Estricta)
El servidor receptor descarta los mensajes que fallan. No se entregan. Estado BIMI: ✅ Aceptado. Esta es la política recomendada para BIMI.
Por Qué BIMI Requiere Aplicación
El requisito existe para prevenir la suplantación visual. Cuando un proveedor de correo muestra tu logotipo junto a un mensaje, está afirmando al destinatario que el mensaje es auténtico [2].
Si BIMI aceptara p=none, un atacante podría suplantar tu dominio y hacer que el proveedor de correo mostrara tu logotipo junto a un mensaje de phishing. Requerir p=quarantine o p=reject garantiza que el propietario del dominio ha bloqueado el correo no autenticado antes de que se otorgue el logotipo.
Consideraciones sobre Subdominios
Las empresas frecuentemente utilizan subdominios para flujos de correo distintos, como marketing.empresa.com o recibos.empresa.com. BIMI requiere que el dominio organizacional esté en aplicación.
Si tu dominio organizacional publica p=reject pero anula los subdominios con sp=none, BIMI falla para el correo enviado desde esos subdominios. La aplicación debe aplicarse tanto al dominio organizacional como a sus subdominios.
Cómo Auditar Tu Infraestructura
Confirma tu estado DMARC antes de generar un archivo SVG o solicitar un Verified Mark Certificate (VMC).
Utiliza makeBIMI para auditar tu dominio. La herramienta consulta tus registros DNS, evalúa tu configuración SPF y DMARC, e informa si tu dominio cumple con el requisito de aplicación para BIMI.
Una vez que tu dominio pase la auditoría, genera tu archivo SVG compatible y contacta con un intermediario de CA como veriBIMI para obtener tu certificado.
Referencias
[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/