¿Qué son las cabeceras de correo electrónico?

Todo mensaje de correo electrónico consta de dos partes: el cuerpo —el contenido que usted lee— y las cabeceras, un bloque de metadatos estructurados que describe el recorrido del mensaje desde el remitente hasta el destinatario. Las cabeceras registran cada servidor por el que pasó el mensaje, las comprobaciones de autenticación realizadas durante el trayecto, las marcas de tiempo, los veredictos del filtro de spam y mucho más.

La mayoría de los clientes de correo ocultan las cabeceras de forma predeterminada porque no están destinadas a la lectura casual. Sin embargo, cuando un mensaje acaba en spam, es rechazado o tarda un tiempo inusualmente largo en llegar, las cabeceras son la principal fuente de diagnóstico. Aprender a leerlas convierte un problema de entrega confuso en un problema resoluble.

Cómo ver las cabeceras de correo electrónico

El método para acceder a las cabeceras completas varía según el cliente de correo:

  • Gmail: Abra el mensaje, haga clic en el menú de tres puntos en la esquina superior derecha del mensaje y seleccione Mostrar original. Esto abre una nueva pestaña con el mensaje sin procesar completo, incluidas todas las cabeceras.
  • Outlook (escritorio): Abra el mensaje y vaya a Archivo → Propiedades. El cuadro de cabeceras de Internet en la parte inferior del diálogo contiene el bloque de cabeceras completo.
  • Apple Mail: Abra el mensaje y vaya a Ver → Mensaje → Todas las cabeceras. También puede pulsar Shift + Cmd + H.
  • Thunderbird: Abra el mensaje y vaya a Ver → Código fuente del mensaje (o pulse Ctrl + U). Las cabeceras aparecen en la parte superior del código fuente sin procesar.

Una vez que tenga las cabeceras sin procesar, cópielas y péguelas en una herramienta como el Analizador de cabeceras de correo de DMARCFlow para obtener un desglose estructurado y legible.

Comprender las cabeceras Received

Las cabeceras más importantes para rastrear la ruta de entrega de un mensaje son las cabeceras Received:. Cada servidor de correo que gestiona el mensaje antepone una nueva cabecera Received: que se describe a sí mismo, al servidor del que recibió el mensaje y la marca de tiempo.

Un punto crucial que confunde a muchas personas: las cabeceras Received están en orden cronológico inverso. La cabecera en la parte inferior es el primer salto: el servidor de origen. La cabecera en la parte superior es el último salto: el servidor que entregó el mensaje a su bandeja de entrada. Leer de abajo a arriba traza el recorrido completo.

Cada cabecera Received: suele incluir:

  • from — el servidor que envió este salto (nombre de host e IP)
  • by — el servidor que recibió este salto
  • with — el protocolo utilizado (SMTP, ESMTP, ESMTPS)
  • for — la dirección del destinatario
  • Una marca de tiempo que indica cuándo ocurrió este salto

Comparando las marcas de tiempo entre saltos consecutivos, puede identificar demoras. Una brecha de varios minutos entre dos saltos suele indicar greylisting: una técnica mediante la cual los servidores receptores difieren temporalmente a los remitentes desconocidos para filtrar los bots de spam que no reintentan.

La cabecera Authentication-Results

La cabecera Authentication-Results: la añade el servidor de correo receptor y registra el resultado de las comprobaciones de SPF, DKIM y DMARC para el mensaje entrante. Es una de las cabeceras más útiles para diagnosticar fallos de autenticación. Un mensaje que supera las comprobaciones tiene este aspecto:

Authentication-Results: mx.example.com;
  spf=pass (google.com: domain of sender@yourdomain.com designates 203.0.113.1 as permitted sender)
  dkim=pass header.i=@yourdomain.com header.s=selector1
  dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=yourdomain.com

Cuando alguno de estos muestra fail o softfail en lugar de pass, es una señal directa para investigar su configuración de SPF, DKIM o DMARC. El valor entre paréntesis suele explicar el motivo: por ejemplo, qué dirección IP fue evaluada contra SPF o qué selector DKIM fue comprobado.

Cabeceras X-Spam y de puntuación de spam

Muchos servidores receptores ejecutan software de puntuación de spam —más comúnmente SpamAssassin— e incrustan su veredicto en cabeceras X-Spam-* antes de entregar el mensaje. Las cabeceras más comunes son:

  • X-Spam-Status: — Habitualmente Yes o No seguido de la puntuación numérica y una lista de las reglas activadas, por ejemplo: X-Spam-Status: Yes, score=7.8 required=5.0 tests=BAYES_99,HTML_MESSAGE,MISSING_DATE
  • X-Spam-Score: — La puntuación numérica sin procesar. Cualquier valor por encima del umbral (típicamente 5,0 para SpamAssassin) se trata como spam.
  • X-Spam-Flag: — Un indicador simple de YES o NO.

La lista de nombres de reglas activadas es especialmente útil. Reglas como BAYES_99 significan que el filtro bayesiano tiene una gran confianza en que el mensaje es spam en función del contenido. Reglas como MISSING_DATE, NO_RECEIVED o FORGED_RCVD_TRAIL indican problemas estructurales o técnicos en la construcción del mensaje en sí.

Diagnóstico de problemas comunes

Con las cabeceras en mano, la mayoría de los problemas de entrega se pueden atribuir a un pequeño conjunto de causas raíz:

  • Fallo de SPF: La cabecera Authentication-Results muestra spf=fail e identifica la IP de envío. Esa IP no está listada en el registro SPF de su dominio. Actualice su registro SPF para incluir ese servicio de envío, o el mensaje fue enviado desde una fuente no autorizada que necesita investigarse.
  • Fallo de DKIM: dkim=fail suele significar que la firma DKIM no se verificó. Causas habituales: el cuerpo del mensaje fue modificado en tránsito (por una lista de correo, un servicio de reenvío o un escáner de seguridad de contenido), la clave DKIM fue rotada sin actualizar el DNS, o el selector referenciado en la cabecera no existe en DNS.
  • Fallo de DMARC: dmarc=fail significa que ni SPF ni DKIM pasaron y estuvieron alineados con el dominio De. Incluso si SPF pasa para un relay de terceros, si el dominio del relay no está alineado con el dominio de su cabecera De, DMARC igualmente falla. Esta es la causa más común al cambiar a un nuevo proveedor de servicio de correo electrónico.
  • Largas demoras entre saltos Received: Una brecha de 5–15 minutos suele indicar greylisting. Una brecha de horas sugiere una acumulación en la cola de uno de los servidores intermediarios, posiblemente porque el servidor de destino está limitando la velocidad de su IP de envío.
  • Alta puntuación de spam por reglas de contenido: El contenido del propio mensaje está activando filtros. Revise las reglas activadas. Los activadores más comunes son el uso excesivo de formato HTML, correos compuestos solo por imágenes sin texto, palabras que desencadenan el filtro de spam o una proporción texto-HTML deficiente.

Uso del Analizador de cabeceras de correo de DMARCFlow

Leer las cabeceras sin procesar manualmente requiere experiencia y tiempo. El Analizador de cabeceras de correo de DMARCFlow automatiza el proceso: pegue sus cabeceras sin procesar completas en la herramienta y le devolverá un análisis estructurado de la ruta de entrega, los resultados de autenticación, las puntuaciones de spam y un resumen en lenguaje claro de los problemas encontrados. Es la forma más rápida de pasar de "¿por qué fue este mensaje a spam?" a una respuesta concreta y un camino para resolverlo.

Analice sus cabeceras de correo ahora

Pegue sus cabeceras de correo sin procesar y obtenga un desglose estructurado instantáneo de su ruta de entrega, resultados de autenticación y puntuaciones de spam. Diagnostique problemas de entrega en segundos.

Analizar cabeceras de correo