**Outlook en Windows**: abre el mensaje en una ventana aparte → pestaña Archivo → Propiedades → el campo **"Encabezados de Internet"** abajo. **Outlook 365 / web**: abre el mensaje → menú de tres puntos arriba a la derecha → "Ver" → "Ver detalles del mensaje". **Nuevo Outlook**: por desgracia Microsoft esconde la opción en sitios distintos: lo más fácil es clic derecho en el mensaje en la bandeja → "Ver fuente".

**Abre el mensaje → menú Vista → Mensaje → Todos los encabezados** (atajo `Mayús+Cmd+H`). Las cabeceras aparecen sobre el cuerpo dentro de la ventana del mensaje. Selecciona todo desde `Delivered-To:` hasta el final y copia. Alternativa: **Vista → Mensaje → Fuente sin procesar** (`Cmd+Opción+U`) muestra el EML raw completo.

¿Qué muestra exactamente la cadena Received?

**Cada servidor de correo que toca el mensaje antepone una cabecera `Received:`**. Así que el orden en el fichero es **inverso** al cronológico: el salto más nuevo está arriba. Lo invertimos en la UI para que se lea naturalmente: #1 = el primer servidor (normalmente el remitente), el último salto = tu buzón. Cada salto muestra: **quién se conectó** (from), **quién aceptó** (by), **qué protocolo** (with, p. ej. ESMTPS / SMTP), **cuándo** (timestamp al final) y **cuánto tardó desde el salto anterior** (delta).

¿Qué significan SPF / DKIM / DMARC en Authentication-Results?

**Authentication-Results** lo añade el **último servidor de confianza en la cadena** (normalmente tu proveedor de correo). Registra tres comprobaciones: **SPF pass** = el servidor de envío está en la lista de permitidos del dominio del From, **DKIM pass** = la firma criptográfica del mensaje verifica, **DMARC pass** = los resultados de SPF y DKIM se alinean con la política del dominio. Uno rojo rara vez significa phishing por sí solo; **dos o tres fails juntos son una señal muy fuerte de suplantación**.

¿Cómo detecto un correo falsificado solo por las cabeceras?

**Cinco clásicos**: (1) **From difiere de Return-Path** o Reply-To: el mensaje dice ser del banco pero las respuestas van a otro sitio. (2) **SPF / DKIM / DMARC = fail** en Authentication-Results. (3) **Message-ID ausente** o con un formato inusual para el remitente afirmado. (4) **Primer salto desde un servidor sin relación** con el dominio del From (un correo "del banco PKO" enviado desde un VPS de Hetzner). (5) **Date muy anterior al primer timestamp en Received**: el atacante backdated manualmente.

¿Qué me dice el delta de salto?

**Cuánto tiempo se quedó el mensaje en cada relay**. Cada salto suele tardar de milisegundos a segundos. **Deltas de minutos a horas** significan que el mensaje fue **encolado** en algún sitio: normalmente greylisting (retraso deliberado en el primer intento desde un remitente desconocido) o pico de carga. **Deltas muy largos en saltos cercanos al final** son típicamente escaneo antispam / antivirus.

¿Cómo funciona vuestra puntuación de spam?

**Suma de heurísticas simples**: SPF fail = +3, DKIM fail = +2, DMARC fail = +2, más de 7 saltos = +1, desajuste de DNS inverso (el host entre paréntesis no coincide con el from-host) = +1, Message-ID ausente = +1, Date ausente = +1. Tope en 10. **Esto NO es un motor antispam completo** (como SpamAssassin), solo una señal rápida basada únicamente en las cabeceras. **3-5 = vale la pena mirar más de cerca**, **6-10 = probablemente spam o phishing**.

¿Por qué algunos saltos tienen IPs raras o sin hostname?

Dos razones comunes: (1) **saltos internos** dentro de la infraestructura del proveedor: un mensaje pasa por 3-4 servidores internos de Gmail que no tienen nombres DNS públicos. (2) **El DNS inverso falta o no coincide**: el admin nunca configuró un registro PTR. Por sí solo no significa phishing, pero **combinado con SPF fail** es una señal fuerte. **Pulsa la IP para abrir whois-lookup** y ver a quién pertenece el bloque de direcciones.

¿Almacena este analizador algo en vuestro lado?

**No. El análisis entero corre en tu navegador**. No enviamos cabeceras a ningún sitio, no hay llamada a API del servidor mientras parseamos. Puedes verificarlo en DevTools (pestaña Network: no pasa nada al pegar). **Puedes pegar con seguridad incluso mensajes confidenciales**: todo se queda en tu dispositivo.

Analizador de cabeceras de correo - gratis

Qué hace un analizador de cabeceras de correo

Un analizador de cabeceras de correo toma el texto crudo de las cabeceras de un email (todo lo que está por encima de la línea en blanco que separa cabeceras y cuerpo) y te muestra qué servidores gestionaron el mensaje, quién lo firmó y si pasan las comprobaciones de autenticación. Todo corre en tu navegador: no sale ningún dato de tu dispositivo.

En una pantalla obtienes cuatro cosas: el bloque básico de identidad (From, To, Subject, Message-ID, Date), los veredictos SPF / DKIM / DMARC de la cabecera Authentication-Results, una línea de tiempo cronológica de saltos Received (más antiguo primero, con el retraso entre saltos) y una puntuación heurística de spam 0-10 con razones concretas.

Para cada IP que aparezca en la cadena Received obtienes un enlace clicable a la herramienta whois-lookup: un clic y puedes ver quién posee el servidor relay.

Cómo usarla

Copia las cabeceras crudas desde tu cliente de correo. Gmail: abre el mensaje → menú de tres puntos → "Mostrar original" → copia el texto completo. Outlook: abre el mensaje → Archivo → Propiedades → campo "Encabezados de Internet". Apple Mail: abre el mensaje → Vista → Mensaje → Todos los encabezados.
Pega en el textarea de arriba. Puedes pegar solo las cabeceras o el mensaje entero: la herramienta corta el cuerpo en la primera línea en blanco.
Comprueba la puntuación de spam arriba. Verde 0-2 = parece sano, amarillo 3-5 = señales de aviso, rojo 6-10 = muy probable phishing o spam.
En la sección Authentication-Results verifica que SPF / DKIM / DMARC todos muestren pass. Un veredicto rojo suele significar que el mensaje no vino realmente del remitente afirmado.
Desplázate a la cadena Received. El salto superior (#1) es el servidor más antiguo: el primero que aceptó el mensaje. El último salto es el servidor que lo entregó a tu buzón.
Pulsa cualquier IP de la cadena para abrir whois-lookup en una nueva pestaña y ver a quién pertenece esa dirección.
Si ves un primer salto raro (una "notificación bancaria" cuyo primer salto es una máquina de hosting en un país aleatorio), tienes una evidencia fuerte de suplantación del remitente.

Cuándo es útil

Cinco situaciones del día a día en las que un análisis de cabeceras zanja la cuestión:

¿Es este correo phishing?. Recibiste un mensaje "del banco" con un enlace para "verificar tu cuenta". Compara From vs Return-Path vs el primer salto en la cadena Received. Si el primer servidor no tiene nada que ver con el banco, es phishing de libro.
Mi correo crítico nunca llegó, el destinatario dice que envió la respuesta. Pídele las cabeceras completas del mensaje que cree haber recibido. Puedes trazar la ruta exacta, ver dónde se atascó y cuánto tardó cada salto.
Queja de cliente: "Tu correo cayó en spam". Mira las cabeceras de la copia que reenvió. La mayoría de las veces encontrarás SPF fail o DKIM fail en Authentication-Results: esa es una causa concreta, no una suposición.
Auditoría post-incidente. Un atacante envió correos desde el dominio de tu empresa. Por las cabeceras de los mensajes sospechosos puedes saber si pasaron por tu servidor de correo real (cuenta comprometida) o por un servidor extraño con un From falsificado (suplantación, tu dominio no tiene DMARC).
Correo extraño de un compañero. El CFO envía un correo al equipo de finanzas pidiendo una transferencia urgente. Comprueba Reply-To y Return-Path: en ataques BEC (Business Email Compromise) difieren del campo From, así que tu respuesta acaba en manos del atacante.

Herramientas relacionadas: verificador DNS de email (auditar el SPF/DKIM/DMARC de tu dominio), consulta WHOIS (propietario de una IP en la cadena Received), consulta DNS.

Preguntas y respuestas

Abre el mensaje → menú de tres puntos junto a "Responder" → "Mostrar original". Se abre una nueva pestaña con dos secciones: un bloque meta arriba (SPF/DKIM/DMARC en forma resumida) y el mensaje raw completo con cabeceras debajo. Copia todo desde el inicio hasta la primera línea en blanco (aproximadamente hasta `Content-Type:`). Atajo: pulsa "Descargar original" y pega el contenido del fichero; la herramienta corta el cuerpo de todas formas.

Qué hace un analizador de cabeceras de correo

Para cada IP que aparezca en la cadena Received obtienes un enlace clicable a la herramienta whois-lookup: un clic y puedes ver quién posee el servidor relay.

Cómo usarla

Copia las cabeceras crudas desde tu cliente de correo. Gmail: abre el mensaje → menú de tres puntos → "Mostrar original" → copia el texto completo. Outlook: abre el mensaje → Archivo → Propiedades → campo "Encabezados de Internet". Apple Mail: abre el mensaje → Vista → Mensaje → Todos los encabezados.

Pega en el textarea de arriba. Puedes pegar solo las cabeceras o el mensaje entero: la herramienta corta el cuerpo en la primera línea en blanco.

Comprueba la puntuación de spam arriba. Verde 0-2 = parece sano, amarillo 3-5 = señales de aviso, rojo 6-10 = muy probable phishing o spam.

En la sección Authentication-Results verifica que SPF / DKIM / DMARC todos muestren pass. Un veredicto rojo suele significar que el mensaje no vino realmente del remitente afirmado.

Desplázate a la cadena Received. El salto superior (#1) es el servidor más antiguo: el primero que aceptó el mensaje. El último salto es el servidor que lo entregó a tu buzón.

Pulsa cualquier IP de la cadena para abrir whois-lookup en una nueva pestaña y ver a quién pertenece esa dirección.

Si ves un primer salto raro (una "notificación bancaria" cuyo primer salto es una máquina de hosting en un país aleatorio), tienes una evidencia fuerte de suplantación del remitente.

Cuándo es útil

Cinco situaciones del día a día en las que un análisis de cabeceras zanja la cuestión:

¿Es este correo phishing?. Recibiste un mensaje "del banco" con un enlace para "verificar tu cuenta". Compara From vs Return-Path vs el primer salto en la cadena Received. Si el primer servidor no tiene nada que ver con el banco, es phishing de libro.
Mi correo crítico nunca llegó, el destinatario dice que envió la respuesta. Pídele las cabeceras completas del mensaje que cree haber recibido. Puedes trazar la ruta exacta, ver dónde se atascó y cuánto tardó cada salto.
Queja de cliente: "Tu correo cayó en spam". Mira las cabeceras de la copia que reenvió. La mayoría de las veces encontrarás SPF fail o DKIM fail en Authentication-Results: esa es una causa concreta, no una suposición.
Auditoría post-incidente. Un atacante envió correos desde el dominio de tu empresa. Por las cabeceras de los mensajes sospechosos puedes saber si pasaron por tu servidor de correo real (cuenta comprometida) o por un servidor extraño con un From falsificado (suplantación, tu dominio no tiene DMARC).
Correo extraño de un compañero. El CFO envía un correo al equipo de finanzas pidiendo una transferencia urgente. Comprueba Reply-To y Return-Path: en ataques BEC (Business Email Compromise) difieren del campo From, así que tu respuesta acaba en manos del atacante.

Herramientas relacionadas: verificador DNS de email (auditar el SPF/DKIM/DMARC de tu dominio), consulta WHOIS (propietario de una IP en la cadena Received), consulta DNS.

Preguntas y respuestas

Analizador de cabeceras de correo

Qué hace un analizador de cabeceras de correo

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Comprobador de DNS de correo (SPF/DKIM/DMARC)

Consulta WHOIS

Consulta DNS

Info de IP / Lookup ASN

Analizador de cabeceras de correo

Qué hace un analizador de cabeceras de correo

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Comprobador de DNS de correo (SPF/DKIM/DMARC)

Consulta WHOIS

Consulta DNS

Info de IP / Lookup ASN