Herramienta gratuita

Analizador de encabezados de correo

Traza cada salto y lee el veredicto SPF / DKIM / DMARC que indicó el receptor. Tus encabezados se quedan en tu navegador: el análisis se ejecuta en tu navegador y no sube nada.

O suelta aquí un archivo .eml (hasta 10 MB)

¿Qué contiene un encabezado de correo?

Cada correo viene en dos partes: el cuerpo que lees y una pila de encabezados que registran cómo se construyó el mensaje y cómo viajó. Esos encabezados son el rastro de auditoría del mensaje, definido por la RFC 5322. Se agrupan en tres familias. Los encabezados de enrutamiento (Received) registran cada servidor por el que pasó el mensaje, el más reciente arriba. Los encabezados de autenticación (Authentication-Results, DKIM-Signature, el conjunto ARC-*) registran lo que el servidor receptor comprobó y lo que encontró. Los encabezados de diagnóstico del receptor, como X-Forefront-Antispam-Report de Microsoft 365, registran lo que observó el propio filtro del proveedor de correo. Este analizador lee estos encabezados y los explica campo por campo, en tu navegador. No se sube nada.

¿Cuándo deberías analizar un encabezado?

Un mensaje parece sospechoso

Compara From, Reply-To, Return-Path y el firmante DKIM. Si no coinciden, el mensaje merece una revisión antes de que nadie pulse el enlace que lleva dentro.

Un mensaje legítimo cayó en correo no deseado

Lee el encabezado Authentication-Results del receptor. Si DMARC falló, el rastro de saltos y la cadena ARC suelen mostrar si un reenviador rompió la alineación.

Un administrador te pide los encabezados

El soporte de Microsoft y los equipos de entregabilidad piden encabezados crudos a menudo. Pegarlos en el analizador te da un veredicto, una línea de tiempo de saltos y un decodificado de X-Forefront-Antispam-Report en un solo lugar.

En qué se diferencia el analizador de DMARCTrust

Honesto sobre la verificación

La mayoría de herramientas muestran SPF=pass / DKIM=pass sin decirte quién lo indicó. Nosotros etiquetamos cada veredicto con su fuente: según Authentication-Results, firma presente (sin verificar) o desconocido.

Privacidad que puedes verificar

El procesamiento se realiza en tu navegador. El analizador no sube los encabezados. Puedes abrir las DevTools para confirmarlo antes de pegar.

Triaje antiphishing y decodificador M365 incluidos

La tarjeta de triaje antiphishing y el decodificador de X-Forefront-Antispam-Report / X-Microsoft-Antispam están incluidos en la v1 — las dos cosas que más piden los administradores de correo.

Cómo leer cada encabezado

Estos son los encabezados que encontrarás en un mensaje típico, con qué es cada uno y cómo leerlo. Este analizador decodifica abajo los encabezados de enrutamiento, autenticación y Microsoft 365. El resto te los muestra en la tabla de encabezados crudos. Los servidores receptores añaden estos encabezados a medida que llega el mensaje, así que el orden y la ortografía exacta varían según el proveedor. La RFC junto a cada uno es la especificación que lo define.

Received RFC 5322

Cada encabezado Received registra un salto, el paso de un servidor de correo al siguiente. Léelos de abajo hacia arriba: el más bajo es el primer servidor que tocó el mensaje, el de arriba es el servidor que te lo entregó. La línea registra qué host lo envió (from), qué host lo recibió (by), el protocolo usado (with) y una marca de tiempo. Un hueco grande entre dos marcas de tiempo apunta a un retraso de cola en ese salto.

Authentication-Results RFC 8601

El servidor receptor escribe este encabezado para registrar lo que encontraron sus propias comprobaciones. Empieza con un authserv-id (el nombre del servidor, como mx.google.com) y luego lista cada método y su resultado: spf=pass, dkim=pass, dmarc=pass. Cada resultado nombra la identidad que juzgó, escrita como ptype.property: smtp.mailfrom para SPF, header.d para el dominio firmante de DKIM, header.from para DMARC. Este es el único lugar donde vive realmente el veredicto SPF, DKIM y DMARC. El analizador lo cita. No vuelve a ejecutar las comprobaciones.

DKIM-Signature RFC 6376

El remitente añade este encabezado y firma parte del mensaje con una clave privada. El receptor la verifica con una clave pública publicada en el DNS. Las etiquetas que importan: d= es el dominio firmante, s= es el selector (así la clave pública se encuentra en s._domainkey.d), h= lista qué encabezados cubre la firma, bh= es el hash del cuerpo y b= es la firma en sí. El analizador te muestra las etiquetas. Verificar la firma necesita una consulta DNS, que no realiza.

Received-SPF RFC 7208

Una nota legible que algunos receptores añaden junto al resultado SPF, indicando la IP de conexión (client-ip=) y el remitente de sobre contra el que se comprobó. Toma el valor spf= dentro de Authentication-Results como el resultado con autoridad. Received-SPF es una copia de conveniencia.

ARC-Seal, ARC-Message-Signature, ARC-Authentication-Results RFC 8617

La cadena ARC (Authenticated Received Chain) permite a un reenviador registrar el resultado de autenticación que vio, para que un receptor posterior pueda seguir confiando en un correo cuyo SPF o DKIM se rompió en tránsito. Cada eslabón lleva un número de instancia i= (1 para el primer salto, sumando). El ARC-Seal informa de un valor de validez de cadena cv=: none significa que es el primer eslabón, pass que la cadena ha validado hasta aquí, fail que no validó. El analizador informa del cv= que declara cada sello. No valida los sellos por sí mismo. Más sobre la alineación DMARC.

Return-Path, From, Reply-To, Sender RFC 5322

Cuatro direcciones que suelen coincidir. From es de quién dice el mensaje que viene, y la identidad que juzga DMARC. Return-Path es el remitente de sobre, a donde van los rebotes, y la identidad que juzga SPF. Reply-To es a donde se envía una respuesta. Sender nombra a quién envió realmente el mensaje cuando difiere de From. Cuando estas direcciones apuntan a dominios sin relación, puede ser una señal de suplantación. La tarjeta de triaje antiphishing de arriba las compara por ti. Más sobre la alineación DMARC.

Message-ID RFC 5322

Un identificador único a nivel mundial que el servidor de envío estampa en el mensaje. Su parte de dominio suele coincidir con el sistema de envío, lo que es una comprobación rápida, y es el valor que los equipos de soporte piden para rastrear un mensaje concreto en los registros.

Date RFC 5322

La hora a la que se compuso el mensaje, según la reportó el sistema del remitente. Compárala con las marcas de tiempo de los encabezados Received. Una Date muy alejada de la hora del primer salto puede indicar un reloj mal configurado o un mensaje reproducido.

X-Forefront-Antispam-Report, X-Microsoft-Antispam Microsoft 365

Microsoft 365 estampa estos encabezados en el correo entrante para registrar lo que observó su filtro: la IP y el país de conexión, los niveles de confianza de spam y de correo masivo, el veredicto del filtro y cualquier consejo de seguridad. Son lo primero que leer cuando un correo legítimo cae en Correo no deseado en Microsoft 365. Los códigos se decodifican en la siguiente sección y en la tarjeta de Microsoft 365 de arriba.

Cómo obtener los encabezados crudos desde tu cliente de correo

Todo análisis empieza por los encabezados crudos. Aquí tienes dónde encontrarlos en los clientes de correo habituales. Copia todo, desde la primera línea hasta la línea en blanco antes del cuerpo del mensaje, o guarda el mensaje como archivo .eml y suéltalo en el cuadro de arriba.

Gmail

Abre el mensaje, haz clic en el menú de tres puntos junto a la flecha de responder y elige Mostrar original. Gmail abre una nueva pestaña con la fuente completa. Haz clic en Copiar al portapapeles, o haz clic en Descargar original para guardar el archivo .eml y soltarlo en el analizador.

Outlook web

Abre el mensaje, haz clic en el menú de tres puntos en la parte superior del mensaje, elige Ver y luego Ver origen del mensaje. Selecciona todo el texto y cópialo.

Outlook clásico para Windows

Abre el mensaje en su propia ventana haciendo doble clic en él, luego elige Archivo y después Propiedades. Los encabezados están en el cuadro Encabezados de Internet, abajo. Selecciona todo y copia.

Nuevo Outlook y Outlook para Mac

Abre el mensaje, haz clic en el menú de tres puntos y elige Ver y luego Ver origen. Copia el texto que aparece.

Apple Mail

Abre el mensaje y en la barra de menú elige Visualización, luego Mensaje y después Todos los encabezados. También puedes pulsar Mayús-Comando-H. Los encabezados completos aparecen sobre el cuerpo.

Mozilla Thunderbird

Abre el mensaje y en la barra de menú elige Ver, luego Encabezados y después Todos. O guarda el mensaje con Archivo y luego Guardar como, y suelta el archivo .eml en el analizador.

Cómo leer los códigos antispam de Microsoft 365

Cuando el correo pasa por Microsoft 365, Exchange Online Protection estampa en los encabezados X-Forefront-Antispam-Report y X-Microsoft-Antispam su decisión de filtrado. Los códigos están documentados pero son escuetos. Esto es lo que significan los más comunes. El analizador los decodifica por ti en la tarjeta de Microsoft 365 de arriba; esta tabla es una referencia para leerlos a mano.

Código Qué significa
SCL Spam Confidence Level (nivel de confianza de spam), de -1 a 9. -1 significa que se omitió el filtrado (un remitente de confianza o una regla de flujo de correo). 0 a 4 cuenta como no spam. 5 a 6 es spam. 7 a 9 es spam de alta confianza. Un mensaje con 5 o más suele caer en Correo no deseado.
BCL Bulk Complaint Level (nivel de confianza de correo masivo), de 0 a 9. 0 significa que el mensaje no es masivo. 4 o más cuenta como masivo por defecto. 7 o más es masivo de alta confianza. Un BCL alto es el motivo habitual por el que un boletín legítimo se filtra.
SFV Spam Filter Verdict (veredicto del filtro), el motivo de la decisión. NSPM no spam, SPM spam, SKN omitido porque la fuente es de confianza, SKS remitente en lista de autorización, SKB bloqueado por una política del inquilino, SKQ puesto en cuarentena, BLK remitente bloqueado.
CIP Connecting IP, el host que abrió la sesión SMTP hacia Microsoft 365. Es la IP contra la que se evaluaron SPF y la reputación de IP.
CTRY País de la IP de conexión, como código ISO 3166-1 de dos letras, según lo geolocalizó Microsoft.
SFTY Código de seguridad del consejo de seguridad que Microsoft adjuntó. Por ejemplo, 9.19 marca un consejo de phishing y 9.20 un consejo de suplantación de identidad.
IPV Resultado de reputación de IP. NLI significa que la IP no está en ninguna lista de reputación. CAL significa que está en una lista de autorización de conexión.
H El nombre HELO o EHLO que el servidor de envío presentó al conectarse.
PTR El registro DNS inverso (PTR) de la IP de conexión en el momento de la entrega.
SRV Etiqueta de servicio. BULK marca el mensaje como masivo; BULK;OL combina masivo con un indicador de salida.

Microsoft revisa estos encabezados de vez en cuando. Para la lista actual completa, consulta la documentación de Microsoft sobre los encabezados antispam de los mensajes.

Preguntas frecuentes

¿Esta herramienta sube mis encabezados?

No. El analizador no sube tus encabezados. El procesamiento se realiza completamente en tu navegador. Puedes abrir las DevTools y mirar la pestaña Red mientras pulsas Analizar; ninguna petición lleva el texto de tus encabezados. La página en sí carga los scripts estándar del sitio (analítica, chat) antes de que pegues nada; esos scripts nunca ven el contenido de tus encabezados.

¿Verifica de forma independiente SPF, DKIM, DMARC y ARC?

No. La herramienta informa de lo que el encabezado Authentication-Results dice que verificó el servidor receptor. Para reverificar una firma DKIM o consultar una política DMARC publicada haría falta una consulta DNS, lo que rompería la garantía de privacidad. Los veredictos se etiquetan con su procedencia: según Authentication-Results, firma presente (sin verificar) o desconocido.

¿Cómo veo los encabezados en Gmail?

Abre el mensaje, haz clic en el menú de tres puntos en la esquina superior derecha del mensaje y elige Mostrar original. Gmail abre una nueva pestaña con la fuente completa. Copia todo lo que esté por encima de la primera línea en blanco, o pulsa Descargar original para guardar el archivo .eml.

¿Cómo veo los encabezados en Outlook?

Outlook web: abre el mensaje, haz clic en el menú de tres puntos, elige Ver y luego Ver origen del mensaje. Outlook clásico para Windows: abre el mensaje en su propia ventana, elige Archivo > Propiedades y copia el cuadro de encabezados de Internet. Nuevo Outlook y Outlook para Mac: abre el mensaje, haz clic en el menú de tres puntos y elige Ver origen.

¿Cómo veo los encabezados en Apple Mail?

Abre el mensaje y en la barra de menú elige Visualización > Mensaje > Todos los encabezados (o pulsa Mayús+Cmd+H). Los encabezados completos aparecen sobre el cuerpo del mensaje.

¿Cómo veo los encabezados en Thunderbird?

Abre el mensaje y en la barra de menú elige Ver > Encabezados > Todos. También puedes guardar el mensaje como .eml desde Archivo > Guardar como y soltar el .eml en el analizador.

¿Qué significa X-Forefront-Antispam-Report?

Es un encabezado de Microsoft 365 que registra lo que observó el filtro de flujo de correo entrante. El analizador decodifica los códigos que contiene: CIP (la IP de conexión), CTRY (su país), SCL (nivel de confianza de spam, -1 a 9), BCL (nivel de confianza de correo masivo 0-9), SFV (veredicto del filtro antispam), SFTY (consejo de seguridad antiphishing), IPV (estado de la lista de autorización de IP) y los flags de override SOR / SOT / SOI. Cada fila de la sección M365 muestra el valor crudo y una explicación en lenguaje claro.

¿Es seguro pegar un encabezado de producción sensible?

El procesamiento ocurre localmente, así que el texto del encabezado no se envía a ninguna parte por el analizador. Si tu organización prohíbe pegar cualquier dato de producción en una página de terceros, sigue esa política: es la regla más segura, y aun así puedes verificar la promesa de privacidad mirando las DevTools mientras pulsas Analizar.

¿Se puede saber si un correo está suplantado a partir del encabezado?

A menudo, aunque no siempre con certeza. El encabezado muestra indicios, no pruebas. La señal más fuerte es un fallo de DMARC en el encabezado Authentication-Results, que significa que el dominio From no se autenticó. La tarjeta de triaje antiphishing añade más: un nombre visible en From que cita una marca que no coincide con su dirección, o un Reply-To y un Return-Path en dominios sin relación. Cualquiera de estos merece una segunda mirada. Ninguno por sí solo demuestra que el mensaje es malicioso, y un correo de phishing bien construido aún puede superar las comprobaciones básicas, así que trata el encabezado como un dato, no como un veredicto final. DMARC se supera pero la suplantación continúa.

¿Por qué mi correo legítimo muestra DMARC=fail?

Casi siempre por la alineación, no porque el mensaje sea falso. DMARC solo se supera cuando SPF o DKIM autentica un dominio que coincide con el dominio From. Cuando envías a través de un servicio de terceros (una plataforma de marketing, una mesa de ayuda, una herramienta de nóminas) y no has configurado tu propio dominio dentro de él, SPF se supera para el dominio del proveedor y DKIM firma con el dominio del proveedor, así que ninguno se alinea con tu From. Un reenviador rompe la alineación de la misma forma. Lee el encabezado Authentication-Results y la tarjeta de triaje antiphishing aquí para ver qué identidad no logró alinearse, y luego corrígela dentro del servicio de envío. El correo del proveedor falla DMARC: arreglos por proveedor.

¿Que un correo supere DMARC significa que es seguro?

No. Que un correo supere DMARC te dice una sola cosa: el mensaje vino realmente del dominio de la dirección From y no fue suplantado. No dice nada sobre si ese dominio es de fiar ni sobre si el contenido es seguro. Un atacante que controla un dominio, o que registró un dominio parecido, puede enviar correo que supere DMARC para ese dominio. La autenticación responde a «¿viene esto realmente de este dominio?», no a «¿debo confiar en este dominio?». Usa el resultado como punto de partida y luego juzga al remitente y el contenido por sí mismos.

¿Quieres monitoreo DMARC continuo?

El análisis puntual de un encabezado te dice qué pasó con un mensaje. DMARCTrust recoge tus informes agregados a diario y avisa de suplantaciones, regresiones de alineación y cambios de DNS en todos los dominios que tengas.

¿Quieres monitoreo continuo?

Inbox Inspector comprueba el veredicto de autenticación real de cada campaña que envía tu dominio. Agrega una dirección a tu herramienta de envío y te mostraremos qué campañas pasan DMARC.

Ver precios →

Deja de leer encabezados uno a uno

DMARCTrust ingiere tus informes DMARC agregados a diario, rastrea a cada remitente y te avisa cuando algo cambia.