Los encabezados de correo son el "diario de viaje"

Cada correo electrónico lleva, además del cuerpo del mensaje, metadatos llamados "encabezados". Normalmente están ocultos, pero se pueden consultar con la función "mostrar encabezados" del cliente de correo. Los encabezados registran en detalle el "diario de viaje" del correo: por qué servidores pasó, cuándo se envió, cuál es la dirección IP del remitente y si pasó la autenticación.

Saber leer los encabezados es una herramienta poderosa para determinar la autenticidad de correos de phishing o identificar el origen del spam.

Campos de encabezado principales

Encabezado Received - registro de servidores intermedios

Es el encabezado más importante. Cada servidor por el que pasa el correo añade su propia información como encabezado Received:. Leyendo de abajo hacia arriba, se puede seguir la ruta cronológica desde el remitente hasta el destinatario.

Received: from mail-out.example.com (203.0.113.10)
by mx.recipient.com with ESMTPS
Tue, 15 Apr 2026 10:30:15 +0900

De este encabezado se puede leer: el nombre de host y la dirección IP del servidor remitente, el servidor receptor, el protocolo de comunicación (ESMTPS = con cifrado) y la marca de tiempo.

From / Return-Path - la "autodeclaración" del remitente

From: es un campo que el remitente puede configurar libremente, por lo que es fácil de falsificar. Los correos de phishing se envían con la dirección de una empresa legítima en el campo From:. Return-Path: (envelope From) es la dirección real de rebote, y si difiere de From:, puede indicar una falsificación.

Authentication-Results - resultados de autenticación

Encabezado donde el servidor receptor registra los resultados de autenticación SPF, DKIM y DMARC.

Authentication-Results: mx.recipient.com;
spf=pass (sender IP is 203.0.113.10);
dkim=pass header.d=example.com;
dmarc=pass

Si SPF, DKIM y DMARC muestran todos pass, se puede considerar que la legitimidad del remitente es alta. Si contiene fail o none, se requiere precaución.

X-Originating-IP - la IP real del remitente

Algunos servicios de correo (como Outlook.com) registran la dirección IP real del remitente en el encabezado X-Originating-IP:. Verificando esta dirección IP en IP Check-san, se puede estimar la ubicación geográfica aproximada del remitente. Sin embargo, Gmail no incluye este encabezado por motivos de privacidad.

Detectar phishing a través de los encabezados

Al recibir un correo de phishing, examinar los encabezados puede revelar la falsificación:

  • From: muestra la dirección de una gran empresa, pero la IP del remitente en Received: es de un servidor en un país sin relación
  • SPF muestra fail → la IP del remitente no está en la lista de autorizados del dominio
  • DKIM muestra fail → el contenido del correo puede haber sido alterado
  • Reply-To: tiene un dominio diferente al de From: → se intenta redirigir las respuestas a otra dirección

Resumen

Los encabezados de correo son el registro completo del viaje de un correo electrónico. Rastrear la ruta con los encabezados Received, verificar el estado de autenticación con Authentication-Results y detectar falsificaciones por la discrepancia entre From y Return-Path son habilidades prácticas de seguridad del correo electrónico.

Términos del glosario relacionados

Dirección IP Identificador del servidor remitente registrado en el encabezado Received. Se usa para identificar el origen. Phishing Correos falsos que suplantan a remitentes legítimos. El análisis de encabezados permite detectar la falsificación. Spam Los resultados de autenticación SPF/DKIM/DMARC se registran en los encabezados y se usan para la detección de spam. Cifrado Se puede verificar en los encabezados si la transferencia de correo está cifrada con ESMTPS (SMTP sobre TLS). DNS Los registros SPF se publican en el DNS y se usan para verificar la legitimidad de la IP del remitente.