Guía de Análisis de Encabezados de Correo: Domina el Rastreo de Received
¿Alguna vez te has preguntado qué sucede entre bastidores cuando envías o recibes un correo electrónico? Mientras que el cuerpo del correo contiene tu mensaje, el Encabezado del Correo (Email Header) contiene la información crítica del "sobre" que cuenta la historia del viaje del correo desde el servidor del remitente hasta tu bandeja de entrada. Dominar el análisis de encabezados de correo es una habilidad esencial para profesionales de TI, desarrolladores y analistas de seguridad.
¿Qué es un Encabezado de Correo?
Un encabezado de correo es un bloque de metadatos que acompaña a cada correo electrónico. Contiene detalles técnicos sobre el remitente, el destinatario, la ruta que tomó el correo y los resultados de varias comprobaciones de seguridad. Aunque la mayoría de los clientes de correo ocultan el encabezado por defecto para ofrecer una experiencia de lectura limpia, siempre está ahí, accesible a través de opciones como "Ver código fuente" o "Ver original".
Un correo electrónico consta de tres partes:
- El Sobre (Envelope): Utilizado por los servidores de correo para enrutar el correo (no es visible en el mensaje final).
- El Encabezado (Header): Los metadatos que vemos (y analizamos).
- El Cuerpo (Body): El contenido real del mensaje.
Principios Fundamentales: Campos Clave del Encabezado
Para solucionar problemas de entrega o identificar suplantaciones de identidad (spoofing), debes entender estos campos críticos:
1. El Rastreo "Received"
El campo Received es la parte más importante del encabezado para rastrear la ruta de un correo. Cada servidor de correo que maneja el correo añade su propia línea Received en la parte superior del encabezado. Para rastrear un correo, debes leer estas líneas de abajo hacia arriba.
Ejemplo:
Received: from mail-ej1-x62c.google.com (mail-ej1-x62c.google.com. [209.85.218.44])
by mx.google.com with ESMTPS id ...
for <[email protected]>;
Fri, 12 Apr 2026 10:00:01 -0700 (PDT)
2. Return-Path vs. From
- From: La dirección que se muestra en el cliente de correo (el remitente "amigable").
- Return-Path: La dirección real utilizada para los mensajes de rebote (el remitente del "sobre").
- Consejo de Soporte: En los correos de phishing, la dirección
Fromsuele decir "[email protected]" mientras que elReturn-Pathpuede ser la dirección aleatoria de un hacker.
3. Authentication-Results
Este campo muestra los resultados de las comprobaciones SPF, DKIM y DMARC.
spf=pass: La IP remitente está autorizada.dkim=pass: La firma criptográfica es válida.dmarc=pass: El correo se alinea con la política del remitente.
Aplicaciones Reales: Solución de Problemas de Entrega
Caso 1: ¿Por qué se retrasa mi correo?
Al observar las marcas de tiempo en cada encabezado Received, puedes calcular el retraso entre saltos. Si el salto 1 es a las 10:00 y el salto 2 es a las 10:15, sabes que el retraso ocurrió en el segundo servidor.
Caso 2: Identificación de Spoofing
Si el campo Authentication-Results muestra spf=fail o dkim=fail, es un fuerte indicador de que el correo podría ser fraudulento. Comprueba siempre si el dominio From coincide con el dominio en Authentication-Results.
Comparación: Diferencias entre Campos Clave
| Campo | Propósito | ¿Se puede falsificar? |
|---|---|---|
| From | Dirección del remitente mostrada | Sí (Fácilmente) |
| Return-Path | Dirección de rebote | Sí (Pero a menudo revela la fuente real) |
| Received | Saltos de servidor y marcas de tiempo | No (Solo el más inferior puede ser falsificado por el remitente) |
| Message-ID | ID único del mensaje | Sí |
FAQ: Preguntas Comunes sobre Encabezados
P: ¿Por qué veo múltiples encabezados "Received"?
R: Porque cada servidor de correo (MTA) por el que pasa el correo añade uno. Un viaje típico incluye el servidor del remitente, varios filtros/relevos intermedios y, finalmente, el servidor del destinatario.
P: ¿Qué es un archivo .eml?
R: Un archivo .eml es un formato de archivo estándar para un mensaje de correo electrónico. Contiene el encabezado completo y el cuerpo en texto plano. Puedes abrirlos en cualquier editor de texto para ver los encabezados.
P: ¿Cómo soluciono "Authentication-Results: spf=softfail"?
R: Esto suele significar que la IP remitente no aparece explitamente en tu registro SPF, pero tampoco está estrictamente prohibida. Actualiza tu registro TXT SPF en tu proveedor de DNS para incluir las direcciones IP correctas o sentencias include.
Herramientas Relacionadas
- Analizador de Encabezados de Correo: Pega tus encabezados para obtener un rastreo visual (Próximamente).
- Generador SPF/DKIM/DMARC: Crea los registros DNS correctos para asegurar tu dominio.