Cómo leer los encabezados de los correos electrónicos: Aprende a detectar los intentos de phishing
Saber leer los encabezados del correo electrónico ayuda a descubrir el origen y la ruta reales de un mensaje, revelando indicios de suplantación de identidad o phishing. Las cabeceras de correo electrónico contienen datos clave de autenticación, como los resultados de SPF, DKIM y DMARC.
Valida instantáneamente los encabezados de correo electrónico con el analizador avanzado de Sendmarc Cómo leer los encabezados del correo electrónico: Conceptos básicos
¿Qué son las cabeceras de correo electrónico?
Las cabeceras de correo electrónico son líneas de metadatos que se adjuntan a cada mensaje y que registran su enrutamiento, los detalles del remitente y el destinatario, las marcas de tiempo y los resultados de la autenticación. Aunque están ocultos por defecto, pueden verse para confirmar la legitimidad de un correo electrónico y rastrear su ruta de entrega.
El papel de las cabeceras de correo electrónico en la ciberseguridad
Las cabeceras de correo electrónico revelan desde dónde se envió un mensaje a través de los campos Recibidos, asignando cada servidor por el que pasó. Estos datos de enrutamiento, combinados con los resultados de autenticación de Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y la autenticación, notificación y conformidad de mensajes basados en dominios (DMARC), ayudan a desenmascarar los correos fraudulentos y a verificar la legitimidad del remitente.
Cómo leer las cabeceras de los correos electrónicos: Explicación de los componentes clave
Principales campos de una cabecera de correo electrónico
- De: La dirección de correo electrónico del remitente.
- Para: La dirección del destinatario.
- Fecha: La fecha y hora en que se envió el mensaje.
- Asunto: El asunto del correo electrónico.
- Recibidos: Enumera los servidores de correo electrónico que retransmitieron el mensaje.
- Message-ID: Un identificador único para ese correo electrónico.
- Return-Path: La dirección utilizada para rebotes o fallos de entrega.
Cómo leer los encabezados de los correos electrónicos: Paso a paso
Descodificación de campos clave: From, Date, etc.
Empieza por localizar el encabezado que deseas analizar. A continuación, comprueba si el campo From coincide con la línea original Recibido, revisa la Date en busca de marcas de tiempo inusuales y confirma que SPF, DKIM y DMARC han pasado.
Comprender las líneas de recibido y los saltos de correo electrónico
Cada línea de Recibido registra un servidor que gestionó el mensaje. Al leerlas de abajo a arriba se muestra la ruta de entrega completa.
Cómo leer los encabezados de los correos electrónicos e interpretar los datos brutos
Ver los encabezados de correo sin procesar
Un encabezado de correo electrónico sin formato revela todos los metadatos, incluidos los saltos de enrutamiento, los resultados de autenticación y los detalles del servidor, lo que permite un análisis preciso de la ruta y la integridad del mensaje.
Buenas prácticas para una interpretación correcta
- Validar la legitimidad de cada dirección IP
- Revisar los resultados de autenticación SPF, DKIM y DMARC
- Buscar anomalías en las rutas o en las marcas de tiempo
¿Listo para analizar tus propios encabezados?
Utiliza el analizador de encabezados de correo de Sendmarc para validar los encabezados de correo electrónico en segundos, sin necesidad de análisis manual.
Cómo leer los encabezados de los correos electrónicos: Ejemplos reales
Ejemplo 1: Desglose del encabezado de un correo electrónico legítimo
- Return-Path:
0101019a6e25344-863a0ee4-797e-498c-8dfb-1a9cfad6abce-000000@mail.example.com - From:
[email protected] - Para:
[email protected] - Subject:
Meeting Reminder - Date:
Tue, 11 Nov 2025 09:00:00 +0000 - Mensaje-ID:
<[email protected]> - Autenticación-Results:
spf=pass (sender IP is 2b00:1450:4884:20::602) smtp.mailfrom=example.com; dkim=pass (signature was verified) header.d=example.com;dmarc=pass action=none header.from=example.com;compauth=pass reason=100
Explicación:
- El Rerutn-Patch coincide con el dominio From, lo que demuestra una gestión adecuada de los rebotes.
- Tanto SPF como DKIM pasan, confirmando la legitimidad del remitente y la integridad del mensaje.
- DMARC pasa, verificando la alineación.
Este encabezado representa un correo electrónico fiable y autenticado.
Ejemplo 2: Análisis del encabezado del correo electrónico de phishing
- Return-Path:
0101019a6e25344-863a0ee4-797e-498c-8dfb-1a9cfad6abce-000000@mail.phishyexample.com - From:
[email protected] - Para:
[email protected] - Asunto: Urgente: Aviso de suspensión de cuenta
- Date:
Tue, 11 Nov 2025 09:00:00 +0000 - Mensaje-ID:
<[email protected]> - Autenticación-Results:
spf=fail (sender IP is 192.0.2.123) smtp.mailfrom=trustedbank.com; dkim=none (no signature) header.d=trustedbank.com; dmarc=fail action=reject header.from=trustedbank.com
Explicación:
- El dominio Return-Path no coincide con el From
- SPF falla porque la IP no está autorizada a enviar correos electrónicos para ese dominio.
- Falta DKIM y falla DMARC, lo que indica que el correo electrónico debe ser rechazado.
Estas incoherencias apuntan a un intento de phishing.
Identificación de patrones sospechosos y señales de alarma
- Direcciones IP que faltan en los registros SPF
- Firmas DKIM ausentes o defectuosas
- Resultados DMARC fallidos
- Dominios From y Retur-Path no coincidentes
- Marcas de tiempo fuera de secuencia
Cómo leer los encabezados de los correos electrónicos al instante
El analizador de encabezados de correo de Sendmarc descodifica automáticamente los datos de encabezado sin procesar, aclara los detalles del salto y muestra resultados claros de SPF, DKIM y DMARC. Simplifica el análisis de encabezados, ayudando a los equipos de seguridad a detectar amenazas más rápidamente y con mayor precisión.Aumenta tu seguridad con Sendmarc
La combinación del análisis de encabezados de correo electrónico con SPF, DKIM y DMARC crea una defensa más sólida contra la suplantación de identidad y el phishing. La revisión periódica de los encabezados y los resultados de autenticación ayuda a su organización a detectar las amenazas en una fase temprana y a evitar la suplantación de dominios.
Protege tu dominio ahora: reserva una demostración para ver cómo la solución DMARC empresarial de Sendmarc puede proteger tu bandeja de entrada y reforzar tu entorno de correo electrónico.
Cómo leer los encabezados de los correos electrónicos: FAQs
¿Cómo puedo comprobar el origen de un correo electrónico?
Para comprobar el origen de un correo electrónico, inspeccione las líneas Recibidos del encabezado y busque el último "salto" de confianza. Esto ayuda a confirmar si el mensaje procede de un servidor legítimo.
¿Qué significa "Recibido" en una cabecera?
El campo Recibido de la cabecera de un correo electrónico enumera todos los servidores de correo electrónico que han gestionado el mensaje en su trayecto. Cada entrada ayuda a rastrear dónde se retransmitió el correo electrónico.
¿Cómo se leen los "saltos" de correo electrónico?
Para leer los saltos del correo electrónico, revise las líneas Recibidos de abajo a arriba. La primera línea en la parte inferior muestra el servidor de envío original, revelando la ruta completa a su bandeja de entrada.
¿Cómo se leen los datos de correo electrónico sin procesar?
Para leer datos de correo electrónico sin procesar, abra el encabezado completo en su cliente de correo electrónico y examine campos como From, Return-Path y Authentication-Results.
¿Cómo leer los encabezados de los correos electrónicos para detectar phishing?
Para detectar phishing a través de los encabezados de correo electrónico, busca resultados SPF, DKIM o DMARC fallidos, direcciones IP sospechosas, relays desconocidos y dominios From y Return-Path que no coincidan. Estas banderas rojas suelen indicar intentos de suplantación de identidad.