Las cabeceras de correo: el ADN de cada mensaje
Cada correo electrónico contiene dos partes: el cuerpo visible (el texto que lees) y las cabeceras ocultas (los metadatos técnicos). Las cabeceras de correo son como el matasellos de una carta tradicional, pero mucho más detalladas: registran cada servidor por el que pasó el mensaje, las marcas de tiempo de cada paso, los resultados de las verificaciones de autenticación, el software del servidor y docenas de otros detalles técnicos. Saber leer las cabeceras es una habilidad fundamental para diagnosticar problemas de correo e identificar mensajes fraudulentos.
Nuestro Email Header Analyzer simplifica este análisis: solo tienes que pegar las cabeceras sin procesar y la herramienta las analiza automáticamente, mostrando la ruta del mensaje en orden cronológico, los retrasos entre cada salto, los resultados de autenticación y cualquier anomalía. Pero para aprovechar al máximo la herramienta, es útil comprender qué significan las cabeceras principales.
Campos de cabecera fundamentales
Los campos Received son los más informativos: cada servidor que maneja el correo añade el suyo, en orden inverso (el más reciente aparece arriba). Leyendo de abajo hacia arriba, se reconstruye la ruta cronológica del mensaje. Cada campo Received contiene la IP del servidor, su nombre de host y una marca de tiempo. Comparando las marcas de tiempo entre entradas Received consecutivas se identifican los retrasos: un intervalo de 30 segundos entre dos saltos es normal, 30 minutos podría indicar un problema.
Identificar correos de phishing a partir de las cabeceras
Las cabeceras son la herramienta más fiable para desenmascarar correos de phishing. Las señales de alerta principales: el campo From y el Return-Path tienen dominios diferentes (el remitente visible no coincide con el remitente técnico), el Authentication-Results muestra spf=fail o dkim=fail, las IPs en los campos Received provienen de países inesperados, el Message-ID tiene un dominio diferente al del remitente, y las cabeceras X-Mailer o User-Agent revelan software inusual.
Para una verificación completa, compara el dominio del From con los resultados de autenticación. Usa SPF Lookup para verificar si la IP del servidor remitente está autorizada por el registro SPF del dominio declarado. Si el campo Authentication-Results muestra dmarc=fail, el dominio tiene una política DMARC activa y el correo no la ha superado — un fuerte indicador de spoofing. El DMARC Lookup te muestra qué política está configurada.
Diagnosticar retrasos en la entrega
Cuando los correos llegan con retraso, las cabeceras revelan exactamente dónde se produjo la ralentización. Nuestro Email Header Analyzer calcula automáticamente el tiempo transcurrido entre cada salto y destaca los retrasos anómalos. Las causas más comunes de retraso son: greylisting activo en el servidor destinatario (retraso intencional de 5-15 minutos para filtrar spam), colas de mensajes llenas en el servidor, problemas de DNS que ralentizan la resolución y filtros antispam que tardan demasiado en analizar el contenido.
Si los retrasos están del lado del servidor remitente, podría haber un problema de rendimiento o de configuración. Usa SMTP Diagnostics para medir los tiempos de respuesta del servidor y verificar que la conexión sea estable. Si los retrasos se producen en el primer salto (del cliente al primer servidor), el problema probablemente está en la conexión de red local o en el cliente de correo.
Un caso particular es el greylisting: el servidor destinatario rechaza temporalmente el correo (código 4xx) y lo acepta solo en el segundo intento, normalmente después de 5-15 minutos. En las cabeceras, esto se manifiesta como un retraso significativo entre el primer Received (envío) y el segundo (aceptación tras el reintento). El greylisting es eficaz contra el spam pero causa retrasos perceptibles en la entrega de mensajes legítimos.