BIMI, VMC, CMC: compatibilidad y prerrequisitos DNS (Gmail, Yahoo, Apple Mail)

⚡TL;DR

TL;DR - 📢 BIMI solo muestra tu logo en la bandeja de entrada si tu dominio pasa DMARC y el logo está validado (VMC o CMC), con requisitos que varían según el proveedor.

• Gmail exige un VMC o un CMC; el checkmark de Gmail está reservado al VMC.
• Un CMC puede emitirse sin marca registrada, con prueba de uso previo del logo (>= 12 meses) o un "modified registered mark".
• Del lado DNS, todo depende de DMARC (p=quarantine/reject + pct=100), el TXT BIMI y un alojamiento HTTPS limpio (SVG/PEM).

BIMI (Brand Indicators for Message Identification) es la "guinda" visible sobre una base invisible: autenticación de correo sólida. Cuando está bien implementado, tus emails pueden mostrar tu logo en ciertas bandejas de entrada.

Pero BIMI no es "solo un SVG". Para la mayoría de los grandes actores (incluido Gmail), necesitas un certificado que vincule jurídica/administrativamente el logo a tu organización: VMC o CMC. Desde 2024, Gmail también acepta CMC, lo que cambia el juego para las marcas que aún no tienen una marca registrada.

Este artículo es para admins, equipos de email marketing y CTO que quieran:

• entender la diferencia VMC vs CMC,
• asegurar los prerrequisitos DNS (DMARC/BIMI/HTTPS),
• evitar las trampas donde "BIMI funciona en X pero no en Y".

Qué es realmente BIMI

BIMI es una especificación que permite a los proveedores de correo mostrar un logo de marca junto a tus emails, siempre que:

1. el correo pase DMARC (así SPF y/o DKIM están alineados),
2. el dominio publique un registro BIMI en DNS,
3. el logo sea conforme (SVG "Tiny-PS" en la mayoría de los casos),
4. y, según el proveedor, el logo esté validado por un certificado (VMC/CMC).

BIMI no reemplaza el anti-phishing

BIMI no "bloquea" el phishing por sí solo. Incentiva desplegar DMARC con política estricta (quarantine/reject) y mejorar la higiene de autenticación. La visualización del logo es un resultado de esa higiene, no un sustituto.

BIMI no garantiza la visualización

Incluso con un DNS perfecto, la visualización sigue a discreción del proveedor (y a veces de sus reglas internas, reputación, historial de spam, etc.).

Los prerrequisitos DNS inevitables

1) DMARC debe estar en modo "enforcement"

Para ser elegible BIMI (especialmente en Gmail), DMARC debe aplicar una acción:

• p=quarantine o p=reject
• pct=100

Ejemplo DMARC base limpio:

_dmarc.captaindns.com. 3600 IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-agg@captaindns.com; adkim=r; aspf=r"

Verificar:

dig +short TXT _dmarc.captaindns.com

Trampa frecuente: p=none (modo observación). Muy útil al inicio, pero no elegible BIMI en Gmail.

2) SPF/DKIM deben pasar Y estar alineados (DMARC)

DMARC "pasa" si:

• SPF o DKIM pasa,
• y uno de los dos está alineado con el dominio From:.

Checklist rápida:

• Firmas todo el flujo saliente con DKIM (recomendado).
• Tu SPF no es un "cajón de sastre" y no supera los límites de lookup.
• Evitas subdominios "fantasma" (ej. mail.captaindns.com) que envían sin política DMARC.

3) Publicar el TXT BIMI (y en el lugar correcto)

El TXT BIMI se publica bajo un nombre tipo:

• default._bimi.captaindns.com

Ejemplos (según tu modo):

Modo certificado (típicamente Gmail) - el logo va en el PEM, así que l= puede ir vacío:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=; a=https://assets.captaindns.com/bimi/brand.pem"

Modo "SVG" (auto-declarado) - aceptado por algunos proveedores, pero no por Gmail:

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo.svg"

Verificar:

dig +short TXT default._bimi.captaindns.com

4) Alojamiento HTTPS: no es "solo subir un archivo"

Tanto si alojas un SVG como un PEM, apunta a:

• HTTPS obligatorio,
• TLS moderno (al menos TLS 1.2),
• certificados de servidor válidos (cadena correcta),
• URLs estables (sin redirecciones infinitas).

Test TLS simple:

openssl s_client -connect assets.captaindns.com:443 -servername assets.captaindns.com </dev/null 2>/dev/null | openssl x509 -noout -subject -issuer

VMC: el "nivel máximo" para BIMI

VMC (Verified Mark Certificate) = certificado de marca verificada. Punto clave: el logo corresponde a una marca registrada (o gubernamental) y la autoridad certificadora verifica:

• la existencia de la marca,
• su correspondencia con el logo (colores/variantes),
• la propiedad o una licencia de uso.

Qué cambia en Gmail

• Gmail exige un VMC o CMC para BIMI.
• El checkmark verificado en Gmail está reservado a los remitentes con VMC (no CMC).
• El checkmark aparece en Gmail web y también en las apps móviles de Gmail (solo VMC).

Cuándo elegir VMC

Elige VMC si:

• tienes una marca registrada (o puedes registrarla),
• quieres la señal de confianza más fuerte (incluyendo el checkmark de Gmail),
• tienes altas exigencias de "compliance/anti-impersonation" (sectores regulados, finanzas, etc.).

Tiempo de preparación

El tiempo "técnico" (DNS/HTTPS) es rápido. El tiempo "legal" (registro de marca) es el factor limitante real.

CMC: la alternativa oficial cuando el logo no está (todavía) registrado

CMC (Common Mark Certificate) = certificado para marcas que no encajan en "registered mark".

El CMC se introdujo para abrir BIMI a más organizaciones, y Gmail lo soporta.

Dos caminos habituales para un CMC

Los requisitos exactos se definen en los "Mark Certificate Requirements", pero conserva este modelo mental:

1. Prior Use Mark: tu logo se usa públicamente desde hace suficiente tiempo y puedes probarlo.
2. Modified Registered Mark: tu logo es una variante ligada a una marca registrada existente (caso más "híbrido").

Enfoque "Prior Use": la regla de >= 12 meses

La idea: la autoridad certificadora debe poder verificar que:

• el logo está actualmente visible en un sitio que controlas,
• y que ya estaba visible al menos 12 meses antes en ese mismo dominio,
• con prueba histórica vía una fuente de archivo (ej. archive.org).

En resumen: si tu logo vive en tu sitio desde hace un año, tienes una vía CMC realista sin registro de marca.

Qué cambia en Gmail

• Con un CMC, Gmail puede mostrar tu logo BIMI.
• Pero sin el checkmark de Gmail (reservado al VMC).

Comparativa VMC vs CMC

La tabla siguiente se exporta en CSV/JSON para reutilizarla (enlaces en el frontmatter).

Criterio	VMC	CMC	Impacto práctico
Tipo de marca validada	Marca registrada o gubernamental	Common mark: uso previo o marca registrada modificada	Decisión sobre todo jurídica; el trabajo DNS es idéntico una vez emitido el certificado
Prueba principal	Verificación en un registro oficial (office/WIPO) + propiedad/licencia	Logo mostrado en un sitio controlado + prueba de exhibición >= 12 meses vía archivo (p.ej. archive.org)	Prever recolección de pruebas / URLs / capturas
Indicador en Gmail	Logo + checkmark verificado	Logo sin checkmark	El checkmark es un beneficio específico del VMC
Tiempo de preparación	Puede requerir un registro de marca (a menudo 6-12 meses)	Requiere >= 12 meses de historial de uso	Planificar según tu historial y objetivos
Elegibilidad del logo	Las marcas no registradas no son elegibles como logo en el perfil "registered mark"	Pensado para marcas no registradas (o derivadas de una marca registrada)	CMC abre BIMI a más organizaciones
Percepción de confianza	Validación fuerte y "estándar" del lado compliance	Validación basada en uso	Elegir según tu exposición a la suplantación
Requisitos DNS	DMARC enforcement + BIMI TXT con a= hacia PEM	Idéntico: DMARC enforcement + BIMI TXT con a= hacia PEM	Elegir VMC/CMC no reduce el trabajo DNS
Cambio de logo	Logo nuevo = nuevo ciclo de validación/certificado	Igual	Estabilizar un "logo de email" para evitar iteraciones
Cuándo elegir	Marca registrada, necesitas el checkmark de Gmail	Sin marca registrada, uso público estable y documentable	Elección de marketing/jurídica; técnicamente el despliegue es idéntico

Compatibilidad: Gmail, Yahoo Mail, Apple Mail

Gmail

Lo que puedes considerar "cierto" en producción:

• Certificado obligatorio: VMC o CMC.
• Checkmark: solo VMC.
• El TXT BIMI en modo certificado apunta a un PEM (logo + certificado), servido por HTTPS.

Yahoo Mail

Yahoo es históricamente uno de los proveedores más abiertos con BIMI:

• algunos despliegues pueden funcionar con logos auto-declarados (sin certificado),
• pero DMARC en enforcement sigue siendo un prerrequisito importante.

Conclusión: si tu objetivo principal es Gmail, ve directo por un camino VMC/CMC.

Apple Mail

Apple tiene dos "historias" distintas:

1. BIMI en Apple Mail (cliente) Apple Mail soporta BIMI, pero el control está del lado del proveedor de correo (servidor): ese servidor debe verificar la conformidad y añadir los encabezados necesarios antes de que Apple Mail muestre el logo.

2. Branded Mail (Apple Business Connect) Es un programa de Apple separado de BIMI, que añade nombre + logo en Apple Mail / iCloud Mail, con:

• validación de Apple,
• verificación de dominio vía un TXT,
• requisitos DMARC estrictos y DKIM obligatorio (SPF solo no soportado),
• restricciones de perímetro (solo dominios comerciales, visibilidad en iCloud y ciertos idiomas).

En resumen: BIMI es multi-ecosistema, Branded Mail es un canal Apple.

DNS: lo que realmente debes publicar

DMARC

Objetivo: DMARC en "enforcement" + 100% de los mensajes.

_dmarc.captaindns.com. 3600 IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-agg@captaindns.com"

BIMI

Objetivo: publicar el registro en el nombre correcto + apuntar a tus assets.

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=; a=https://assets.captaindns.com/bimi/brand.pem"

DKIM

Objetivo: firmar todos los flujos y verificar d= (dominio) y el selector.

dig +short TXT selector1._domainkey.captaindns.com

CAA

CAA no es "obligatorio" para ti en el lado BIMI, pero hay un punto operativo importante:

• las autoridades certificadoras deben consultar tu CAA antes de emitir un Mark Certificate;
• si tienes un CAA restrictivo y no autorizas a la CA elegida, la emisión puede fallar.

Ejemplo genérico (adáptalo a la CA que uses):

captaindns.com. 3600 IN CAA 0 issue "ca-exemple.net"
captaindns.com. 3600 IN CAA 0 iodef "mailto:dns-alerts@captaindns.com"

Verificar:

dig +short CAA captaindns.com

Tests y debug: las verificaciones que evitan el 80% de los tickets

Verificar DMARC (valores bloqueantes)

dig +short TXT _dmarc.captaindns.com

Puntos a controlar para BIMI/Gmail:

• p=quarantine o p=reject
• pct=100

Verificar el TXT BIMI

dig +short TXT default._bimi.captaindns.com

Trampas:

• registro publicado en _bimi.captaindns.com (nombre incorrecto) en lugar de default._bimi.captaindns.com,
• comillas mal colocadas / espacios raros,
• URL https:// que redirige a http:// (no),
• certificado PEM sin cadena intermedia (si tu CA pide añadirla).

Probar rápido la cadena TLS del servidor

openssl s_client -connect assets.captaindns.com:443 -servername assets.captaindns.com </dev/null

Finales de 2025: novedades y puntos de vigilancia

1) CMC: expansión mayor, pero el checkmark sigue siendo VMC

El soporte de Gmail para CMC abrió BIMI a más marcas, pero la jerarquía sigue simple:

• VMC = logo + señal fuerte (checkmark)
• CMC = logo sin checkmark

2) Tag avp en el registro BIMI

Una evolución reciente del estándar BIMI introduce avp (Avatar Preference) para expresar una preferencia de visualización:

• avp=brand: preferir el logo de marca,
• avp=personal: preferir el avatar personal si existe, si no el logo BIMI.

Ejemplo (si tu ecosistema lo soporta):

default._bimi.captaindns.com. 3600 IN TXT "v=BIMI1; l=https://assets.captaindns.com/bimi/logo.svg; a=https://assets.captaindns.com/bimi/brand.pem; avp=brand"

3) Apple Branded Mail: DMARC estricto + DKIM obligatorio

Si tu objetivo es iCloud/Apple Mail "del lado Apple", ten en cuenta que Branded Mail impone:

• DMARC en enforcement (quarantine/reject) y pct=100,
• DKIM obligatorio (SPF solo no soportado),
• validación Apple + TXT de verificación, con ventanas de tiempo.

Plan de acción

1. Mapear tus dominios de envío

• dominio(s) usados en From:
• dominios de rebote (Return-Path)
• plataformas (ESP, CRM, MTA interno)

2. Poner DMARC en conformidad BIMI

• corregir SPF/DKIM (al menos uno debe pasar en alineación DMARC)
• pasar a p=quarantine luego p=reject según madurez
• forzar pct=100 cuando estés listo para BIMI

3. Elegir VMC vs CMC

• marca registrada (o plan de registrarla) → VMC
• sin marca registrada, pero logo usado públicamente por >= 12 meses → CMC
• sin histórico → empieza estabilizando tu "logo de email" y construyendo prueba

4. Producir el SVG conforme

• formato SVG Tiny-PS
• sin scripts/enlaces externos/animaciones
• dimensiones en píxeles (ej. 96x96)
• añadir <title> y <desc> (accesibilidad)

5. Obtener el certificado y preparar el PEM

• conseguir el PEM "entity"
• añadir intermediarios + root si tu CA lo exige
• alojar el PEM en HTTPS estable

6. Publicar el TXT BIMI

• default._bimi.tu-dominio
• apuntar a a=https://.../brand.pem
• (opcional) publicar también l=https://.../logo.svg si apuntas a clientes que usan l

7. Probar

• dig sobre DMARC/BIMI
• curl sobre PEM/SVG
• verificar envíos reales a Gmail/Yahoo/iCloud

8. Monitorizar

• reportes DMARC (RUA) para detectar flujos que fallan
• seguimiento de cambios (logo, subdominios, ESP, claves DKIM)

FAQ

¿Gmail acepta BIMI sin certificado (logo auto-declarado)?

No: para mostrar un logo BIMI en Gmail necesitas un certificado (VMC o CMC) y un registro BIMI que apunte al PEM. Los logos auto-declarados pueden funcionar en otros sitios, pero no en Gmail.

¿Un CMC da el checkmark en Gmail?

No. Con un CMC, Gmail puede mostrar el logo, pero el checkmark verificado está reservado al VMC.

Mi DMARC está en p=none: ¿puedo activar BIMI?

Para Gmail, no: necesitas al menos p=quarantine o p=reject, y pct=100. Si estás en p=none, empieza corrigiendo SPF/DKIM y sube la política progresivamente.

Apple Mail: BIMI o Branded Mail, ¿qué elijo?

Si quieres un enfoque multi-proveedor (Gmail/Yahoo/etc.), BIMI es el camino estándar. Si tu objetivo es el ecosistema Apple/iCloud y aceptas un proceso Apple Business Connect (validación Apple + requisitos DMARC/DKIM), Branded Mail puede complementar BIMI.

¿Qué rompe BIMI con más frecuencia en DNS?

Las 3 causas principales: DMARC sin enforcement (p=none o pct<100), registro BIMI publicado con nombre incorrecto (no default._bimi), y URLs HTTPS inaccesibles (WAF, redirecciones, certificado de servidor mal encadenado).

Descarga las tablas comparativas

Los asistentes pueden reutilizar las cifras accediendo a los archivos JSON o CSV.

• Comparativa VMC vs CMC
• Comparativa VMC vs CMC

Glosario

• BIMI: estándar de visualización de logo basado en DMARC + un registro DNS BIMI.
• DMARC: política que indica qué hacer si SPF/DKIM fallan y que impone la alineación del dominio From:.
• SPF: lista de IP/servicios autorizados a enviar para un dominio (autenticación por IP).
• DKIM: firma criptográfica añadida al mensaje, verificada vía DNS (autenticación por clave).
• VMC: certificado BIMI basado en una marca registrada (o gubernamental), que aporta un alto nivel de confianza.
• CMC: certificado BIMI alternativo, basado en una "common" mark (p.ej. uso previo) o una variante ligada a una marca registrada.
• PEM: formato de archivo que contiene el certificado (y a menudo la cadena), referenciado por la etiqueta a= del registro BIMI.
• CAA: registro DNS que restringe qué autoridades certificadoras pueden emitir certificados para un dominio.

Fuentes

• BIMI Group - Minimum Security Requirements for Issuance of Mark Certificates (VMC/CMC)
• Apple Developer - BIMI support in Apple Mail
• IETF Datatracker - BIMI (draft)