Encabezados Analizador de encabezados de correo
Pega los encabezados sin procesar de un correo para rastrear la ruta de entrega, medir los retrasos entre saltos, y leer los resultados de autenticación.
¿Qué son los encabezados de un correo?
Cada correo lleva un bloque de encabezados — metadatos que registran quién lo envió, cómo viajó, y qué verificaciones de autenticación pasó. Tu cliente de correo solo muestra unos pocos (De, Asunto, Fecha), pero el bloque de encabezados completo contiene todo el historial de entrega.
Analizar los encabezados es la forma más rápida de responder a preguntas como «¿por qué llegó esto a spam?», «¿de dónde provino realmente este correo de phishing?» y «¿por qué la entrega tardó 20 minutos?».
Cómo obtener los encabezados sin procesar
- Gmail: abre el mensaje → menú ⋮ → Mostrar original. Copia todo el contenido del cuadro.
- Outlook (escritorio): abre el mensaje → Archivo → Propiedades → copia el cuadro Encabezados de Internet.
- Outlook.com / Microsoft 365 Web: abre el mensaje → ⋮ → Ver → Ver origen del mensaje.
- Apple Mail: selecciona el mensaje → Visualización → Mensaje → Todos los encabezados (o Origen sin procesar).
- Yahoo Mail: abre el mensaje → ⋮ Más → Ver mensaje sin procesar.
Qué muestra este analizador
- Ruta de entrega — la cadena
Received:reconstruida en orden, el salto más antiguo primero, para ver cada servidor por el que pasó el mensaje. - Retraso por salto — el intervalo de tiempo entre saltos consecutivos, que señala dónde se atascó una entrega lenta.
- IP de origen — la primera IP pública de la cadena, es decir, el servidor que realmente inyectó el mensaje.
- Resultados de autenticación — los resultados de SPF, DKIM y DMARC extraídos del encabezado
Authentication-Resultsañadido por el servidor receptor. - Encabezados clave — De, Para, Return-Path, Message-ID y otros campos de identificación.
Leer la cadena Received
Los servidores de correo añaden un encabezado Received: al principio cada vez que manejan un mensaje, así que en el texto sin procesar el salto más reciente está arriba. Esta herramienta lo invierte — el salto 1 es el origen del mensaje, y el último salto es la entrega final. Cada salto registra el host from (quién transfirió el mensaje), el host by (quién lo recibió), el protocolo usado y una marca de tiempo.
Ten en cuenta que los encabezados Received anteriores a tu propia infraestructura pueden ser falsificados por un remitente de spam — solo los encabezados añadidos por servidores de confianza son fiables. La IP de origen mostrada aquí es la primera IP pública de la cadena, pero en una cadena falsificada puede estar fabricada ella misma.
Preguntas frecuentes
¿Mis encabezados pegados se conservan en algún lugar?
No. Los encabezados se envían al servidor, se analizan en memoria para producir esta página, y se descartan cuando se devuelve la respuesta. No se escriben en disco, ni se registran, ni se asocian contigo.
¿Por qué el tiempo de entrega es negativo o cero entre algunos saltos?
Cada servidor estampa su propio reloj en el encabezado Received, y los relojes de los servidores no están perfectamente sincronizados. Un pequeño intervalo negativo es solo un desfase de reloj — esta herramienta lo ajusta a cero. Los intervalos grandes son retrasos reales de cola.
¿Puedo confiar en la IP de origen?
Puedes confiar en los encabezados Received añadidos por servidores que controlas o en los que confías (los de tu proveedor de correo). Todo lo anterior a ese punto puede ser falsificado por un remitente malicioso. Para un mensaje genuino de un proveedor reputado, la IP de origen es fiable; para un phishing sospechoso, trata los saltos inferiores con desconfianza.
¿Qué significa «dkim=signed» frente a «dkim=pass»?
dkim=pass proviene del encabezado Authentication-Results del servidor receptor — realmente verificó la firma. dkim=signed es lo que esta herramienta indica cuando solo ve un encabezado DKIM-Signature sin un resultado de verificación — el mensaje fue firmado, pero no podemos confirmar que la firma sea válida.
El analizador no encontró encabezados Received — ¿qué salió mal?
Probablemente pegaste solo los encabezados que muestra tu cliente de correo (De, Para, Asunto) en lugar de los encabezados sin procesar completos. Usa la opción «Mostrar original» / «Ver origen» descrita arriba para obtener el bloque completo, incluida cada línea Received:.
¿Por qué SPF pasa pero DMARC falla?
DMARC exige que SPF o DKIM pase y esté alineado — el dominio autenticado debe coincidir con el dominio «De» visible. Un mensaje puede pasar un SPF simple (el dominio del remitente de sobre está autorizado) pero fallar DMARC porque ese dominio difiere del dominio del encabezado «De». Es común con las listas de correo y los reenviadores.