El registro DNS de BIMI: explicación de las etiquetas l= y a=
Una referencia técnica completa sobre la sintaxis del registro TXT de BIMI, que abarca la etiqueta de logo l= y la etiqueta de certificado a=, configuraciones compatibles y errores de configuración comunes.
El registro DNS completo de BIMI
Un registro DNS de BIMI (Brand Indicators for Message Identification) es un único registro TXT que indica a los clientes de correo electrónico participantes dónde encontrar el logo de tu marca y, cuando es necesario, el certificado que demuestra que eres su propietario. La sintaxis debe ser exacta sin excepciones: una sola etiqueta mal formada provoca un fallo silencioso sin rebote, sin registro de errores y sin logo.
Este artículo cubre cada componente del registro TXT de BIMI, las reglas que rigen cada etiqueta, las tres configuraciones canónicas de registro y los errores de configuración que rompen silenciosamente la visualización del logo.
Requisitos previos
Antes de publicar un registro BIMI, confirma que tienes lo siguiente:
- Política DMARC configurada como
p=quarantineop=rejectcon al menospct=100(o cumplimiento equivalente). - Tu archivo de logo está en formato SVG Tiny P/S y alojado en una URL HTTPS de acceso público.
- Si tu objetivo es Gmail o Apple Mail, dispones de un VMC (Verified Mark Certificate) o CMC (Common Mark Certificate) válido en formato PEM, también alojado en una URL HTTPS de acceso público.
Estructura del registro BIMI
Un registro TXT de BIMI sigue esta sintaxis general:
v=BIMI1; l=<logo-url>; a=<certificate-url>
| Etiqueta | Nombre | Obligatoria | Descripción |
|-----|------|----------|-------------|
| v= | Versión | Sí | Siempre BIMI1. |
| l= | URL del logo | Sí | URL HTTPS que apunta a tu archivo de logo en SVG Tiny P/S. |
| a= | Evidencia de autoridad | Condicional | URL HTTPS que apunta a tu VMC o CMC en formato PEM. Obligatoria para Gmail y Apple Mail. |
El registro se publica como un registro TXT de DNS en el siguiente subdominio:
default._bimi.<tudominio.com>
Nota: El selector default es el selector estándar utilizado por todos los principales clientes de correo electrónico. La especificación admite selectores personalizados, pero los receptores aún no los han implementado ampliamente.
La etiqueta l=: URL del logo
Qué hace
La etiqueta l= proporciona la URL desde la cual los clientes de correo receptores obtienen el logo de tu marca. Cuando un mensaje pasa la alineación DMARC, el cliente recupera este archivo y lo muestra junto al nombre del remitente.
Requisitos
- Protocolo: Debe ser
https://. Las URLs HTTP son rechazadas. - Accesibilidad: La URL debe ser de acceso público, sin autenticación, sin redirecciones, sin bloqueo geográfico. Los servidores de correo obtienen esta URL desde su propia infraestructura, no desde un navegador.
- Formato de archivo: El archivo debe cumplir con SVG Tiny P/S (Portable/Secure), un subconjunto restringido de SVG 1.2 Tiny. Los archivos SVG estándar fallarán en la validación aunque se visualicen correctamente en un navegador.
- Cabecera Content-Type: El servidor debe devolver
image/svg+xml. - Tamaño del archivo: Mantén el archivo por debajo de 32 KB. Algunos receptores aplican límites más estrictos.
Restricciones clave de SVG Tiny P/S
SVG Tiny P/S prohíbe los siguientes elementos y atributos que se encuentran comúnmente en archivos SVG estándar:
- Referencias externas (
,xlink:hrefque apunten fuera del archivo) - Scripts (
) - Animaciones (
,) - Imágenes rasterizadas incrustadas
- Fuentes arbitrarias (solo fuentes del sistema, o texto convertido a trazados)
Importante: Un archivo que es SVG válido pero no es SVG Tiny P/S válido provocará que la visualización del logo falle silenciosamente en la mayoría de los clientes. Valida siempre con un verificador de SVG para BIMI dedicado antes de publicar.
Establecer l= como vacío
La especificación permite l= con un valor vacío (l=;) para optar explícitamente por no mostrar BIMI en un dominio mientras se mantiene publicado un registro. Este es un caso extremo utilizado en escenarios de supresión de subdominios.
La etiqueta a=: Evidencia de autoridad (URL del certificado)
Qué hace
La etiqueta a= apunta a un Mark Verifying Certificate (VMC) o Common Mark Certificate (CMC) en formato PEM. Este certificado vincula criptográficamente tu logo a tu dominio y es emitido por una Autoridad de Certificación (CA) acreditada. Los clientes de correo receptores obtienen este certificado, validan la cadena y confirman que el logo incrustado coincide con la URL l= antes de mostrar la marca.
Requisitos
- Protocolo: Debe ser
https://. Las URLs HTTP son rechazadas. - Accesibilidad: Acceso público sin autenticación ni redirecciones.
- Formato: Cadena de certificados codificada en PEM (
.pem). El archivo debe incluir la cadena completa desde el certificado de entidad final hasta la raíz de confianza. - Cadena de confianza: El certificado debe encadenarse a una CA raíz de confianza reconocida por el proveedor de correo receptor. Los certificados autofirmados no son aceptados.
- Coincidencia del hash del logo: El archivo SVG en
l=debe coincidir con el hash del logo incrustado en el certificado. Actualizar tu logo sin reemitir el certificado rompe la visualización. - Validez: El certificado no debe estar expirado ni revocado.
VMC vs CMC
| Tipo de certificado | Nombre completo | Requiere marca registrada | Emitido por | |---|---|---|---| | VMC | Verified Mark Certificate | Sí — marca registrada | DigiCert, Entrust | | CMC | Common Mark Certificate | No — se acepta marca de derecho consuetudinario | DigiCert, Entrust |
Los CMC reducen la barrera de entrada al eliminar el requisito de registro de marca, haciendo que BIMI con verificación de certificado sea accesible para un conjunto más amplio de organizaciones.
Registros autoafirmados vs certificados
Registro autoafirmado (solo l=, sin a=)
Un registro autoafirmado contiene únicamente la etiqueta l=. No se hace referencia a ningún certificado.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg;"
Dónde funciona:
- Yahoo Mail / AOL Mail: Muestra el logo sin certificado, siempre que DMARC esté aplicado.
- Fastmail: Admite registros autoafirmados.
Dónde no funciona:
- Gmail: Requiere un VMC o CMC válido. Los registros autoafirmados se ignoran.
- Apple Mail: Requiere un VMC o CMC válido. Los registros autoafirmados se ignoran.
- Microsoft Outlook (365): Utiliza su propio sistema similar a BIMI (BIMI no está soportado de forma nativa actualmente).
Resumen: Un registro autoafirmado es un punto de partida válido y aporta valor en Yahoo Mail, pero no desbloqueará la visualización del logo en Gmail o Apple Mail.
Registro VMC (Verified Mark Certificate)
Utiliza esta configuración cuando poseas una marca registrada y hayas obtenido un VMC de una CA acreditada.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg; a=https://bimi.example.com/vmc.pem;"
Compatible con: Gmail, Yahoo Mail, Apple Mail, Fastmail y todos los demás clientes participantes en BIMI.
Registro CMC (Common Mark Certificate)
Utiliza esta configuración cuando hayas obtenido un CMC. La sintaxis del registro DNS es idéntica a la de un registro VMC — la distinción está en el propio certificado, no en el registro DNS.
default._bimi.example.com. IN TXT "v=BIMI1; l=https:class="hl-cmt">//bimi.example.com/logo.svg; a=https://bimi.example.com/cmc.pem;"
Compatible con: Gmail (desde el despliegue del soporte para CMC), Yahoo Mail, Apple Mail, Fastmail.
Nota: Confirma siempre el estado actual del soporte de CMC con tus clientes de correo objetivo, ya que los plazos de implementación varían según el proveedor.
Errores de configuración comunes
1. Una URL a= rota provoca un fallo silencioso
Este es el error más perjudicial y