La Guía Definitiva de Implementación BIMI 2026
La referencia técnica autorizada para la implementación de BIMI. Especificación SVG Tiny P/S, requisitos de aplicación de DMARC, panorama de certificados VMC vs. CMC, estructura de registros DNS y lista de verificación completa para la implementación.
Qué es BIMI realmente — Y por qué importa
Brand Indicators for Message Identification (BIMI) es la señal de confianza más significativa en el correo electrónico desde el propio DMARC. Permite a los propietarios de dominios mostrar un logotipo de marca verificado criptográficamente junto a cada mensaje que envían — en Gmail, Yahoo, Apple Mail y más.
Esto no es una característica cosmética. BIMI es el resultado visual de una rigurosa cadena de autenticación multicapa. No se puede falsificar. No se puede eludir los requisitos de seguridad subyacentes pagando. Precisamente eso es lo que hace significativo al logotipo: es prueba de trabajo.
BIMI fue formalizado como RFC 9091 por el IETF en julio de 2021, gobernado por el AuthIndicators Working Group — una coalición de Gmail, Yahoo, Apple, Fastmail y Cloudmark. Todos los principales proveedores de correo se han comprometido con este estándar.
BIMI es la recompensa visual por una seguridad de dominio estricta. Si no has aplicado DMARC, tu logotipo no aparecerá — independientemente de cuán perfecto sea tu SVG.
El estándar SVG Tiny P/S — Por qué es tan restrictivo
BIMI no acepta un archivo SVG estándar. Requiere SVG Tiny P/S (Portable/Secure) — un perfil XML deliberadamente restrictivo definido específicamente para entornos de renderizado de correo electrónico.
Los clientes de correo renderizan los logotipos BIMI en un contexto aislado junto con contenido no confiable de millones de remitentes. Un SVG estándar es un formato potente capaz de ejecutar scripts, cargar recursos externos e incrustar datos binarios arbitrarios. En un contexto de correo electrónico, estos son vectores de ataque.
El perfil SVG Tiny P/S del W3C elimina estos vectores prohibiendo explícitamente:
- Elementos
y manejadores de eventoson*— previene la inyección de código malicioso a través de clientes de correo - Etiquetas
y datos de mapa de bits incrustados — previene píxeles de rastreo e incrustación de datos ráster. Esta prohibición es absoluta. - Dimensiones relativas (
width="100%") — previene ataques de diseño - Reglas CSS
@importy hojas de estilo externas — previene ataques de canal lateral basados en CSS - Animaciones — previene distracciones y ataques basados en temporización
Requisitos estructurales obligatorios
- La raíz
debe declararversion="1.2"ybaseProfile="tiny-ps" - Se requiere
viewBoxcuadrado (relación de aspecto 1:1) - Fondo sólido
completamente opaco que cubra todo el lienzo - Se requiere elemento
- XML válido y bien formado
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Solo trazados vectoriales puros -->
</svg>
El motor de autocorrección de makeBIMI aplica todos los requisitos automáticamente. Para subidas ráster (PNG, JPG), ejecuta un pipeline de vectorización verdadera — preprocesamiento con Sharp seguido de trazado con Potrace — produciendo elementos puros sin píxeles incrustados.
El prerrequisito DMARC — La base innegociable
Antes de que cualquier proveedor de correo honre tu registro BIMI, tu dominio debe tener una política DMARC completamente aplicada.
p=none— Solo monitoreo. BIMI no se renderizará.p=quarantine— Los mensajes que fallan se envían a spam. BIMI puede renderizarse.p=reject— Los mensajes que fallan se rechazan. BIMI se renderizará. Requerido por Gmail para visualización respaldada por VMC.
<h1 id="registro-dmarc-correcto-para-elegibilidad-bimi" class="md-h1">Registro DMARC correcto para elegibilidad BIMI</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
Usa la herramienta de Auditoría de Dominio para verificar tu postura DMARC instantáneamente.
El panorama de certificados — VMC vs. CMC en 2026
Verified Mark Certificate (VMC)
Emitido por Entrust o DigiCert contra una marca registrada. Habilita la insignia azul oficial de Gmail. Requerido para visualización en Gmail. Elección correcta para: empresas, compañías cotizadas en bolsa, marcas con registros de marca existentes.
Common Mark Certificate (CMC)
No requiere marca registrada. Verifica la propiedad del dominio y la asociación del logotipo. Aceptado por Yahoo Mail, Apple Mail y Fastmail. Elección correcta para: startups, pymes, creadores y cualquier marca que aspire a obtener un VMC.
En resumen: si Gmail es tu objetivo principal, necesitas un VMC. Comienza con un CMC si quieres cobertura amplia mientras trabajas hacia él.
El registro DNS
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— etiqueta de versiónl=— URI del logotipo: URL HTTPS públicamente accesible a tu archivo SVG Tiny P/Sa=— Ubicación de evidencia de autoridad: URL HTTPS a tu archivo PEM de certificado VMC o CMC
Requisitos de alojamiento e infraestructura
- Certificado TLS válido (no autofirmado)
- HTTP
200 OKconContent-Type: image/svg+xml - Sin autenticación en la URL del SVG
- Se recomienda encarecidamente alojamiento en CDN
- Tamaño de archivo inferior a 32 KB
Lista de verificación de implementación
- Registro SPF publicado y pasando para todas las IPs de envío autorizadas
- Firma DKIM habilitada con etiqueta
d=alineada al dominio From - Política DMARC en
p=quarantineop=rejectconpct=100 - Archivo SVG Tiny P/S creado, validado y alojado sobre HTTPS
- Certificado VMC o CMC obtenido y alojado sobre HTTPS
- Registro DNS TXT de BIMI publicado en
default._bimi.tudominio.com - Registro verificado usando la herramienta de Auditoría de Dominio
- Correo electrónico de prueba de extremo a extremo enviado a Gmail o Yahoo para confirmar la visualización del logotipo