Todos recibimos correos a diario. Algunos parecen confiables. Otros… no tanto. Pero, ¿cómo saber con certeza si un correo realmente viene de quien dice ser?
En esta guía aprenderás paso a paso cómo verificar la procedencia real de un mensaje, leer su cabecera técnica, y comprobar si supera las validaciones de autenticación más importantes: SPF, DKIM y DMARC.
🧭 ¿Qué es la procedencia de un correo?
Es el rastro digital que sigue un mensaje desde el servidor que lo envía hasta tu bandeja de entrada. Este camino queda grabado en los encabezados del mensaje (headers). Aunque invisibles para el usuario común, contienen todo lo que necesitas saber para confirmar si un correo es legítimo… o fraudulento.
📂 ¿Qué partes debes revisar?
✅ 1. Cabecera del correo
Contiene metadatos clave. Busca:
From: “Banco” <seguridad@banco.com>
Return-Path: <fraude@malicioso.ru>
🔎 ¿Coinciden From y Return-Path? Si no, es sospechoso.
✅ 2. Ruta “Received”
Cada servidor por donde pasó el mensaje agrega una línea Received. Se lee de abajo hacia arriba. Ejemplo:
Received: from pc-hackeado.local by smtp.malicioso.ru
Received: from smtp.malicioso.ru by gmail.com
Si ves servidores desconocidos o ubicaciones sospechosas, activa tu alerta.
✅ 3. Autenticación SPF, DKIM y DMARC
Estas tecnologías sirven para verificar si un correo fue realmente autorizado por el dominio del remitente.
Busca en los encabezados una sección como esta:
Authentication-Results:
spf=pass smtp.mailfrom=banco.com
dkim=fail header.d=banco.com
dmarc=fail (p=REJECT)
¿Qué significan?
| Protocolo | ¿Qué valida? | Resultado deseado |
|---|---|---|
| SPF | ¿El servidor puede enviar desde ese dominio? | PASS |
| DKIM | ¿La firma digital es válida? | PASS |
| DMARC | ¿El dominio protege contra suplantación? | PASS |
⚠️ ¿Por qué a veces solo ves SPF=pass> y no DKIM o DMARC?
Es común que solo veas claramente el resultado de SPF. Esto pasa porque:
- SPF depende de la IP del servidor y se registra fácilmente.
- DKIM requiere que el mensaje esté firmado digitalmente y que el servidor receptor verifique esa firma.
- DMARC depende de que SPF o DKIM pasen y estén alineados con el dominio del From:.
Además, no todos los servidores muestran los resultados en texto visible. Pero puedes comprobar si hay firma DKIM buscando esta línea:
DKIM-Signature: v=1; a=rsa-sha256; d=ejemplo.com; ...
Y usar herramientas online para interpretarlo con claridad.
🔍 ¿Cómo ver la cabecera en Gmail y Outlook?
📧 Gmail (web)
- Abre el correo.
- Haz clic en los tres puntos (⋮).
- Selecciona “Mostrar original”.
- Verás encabezados + validaciones SPF/DKIM/DMARC.
📧 Outlook (Windows)
- Abre el mensaje.
- Ve a Archivo > Propiedades.
- Copia los “Encabezados de Internet”.
📧 Outlook Web
- Abre el correo.
- Clic en los tres puntos (⋯).
- Selecciona “Ver origen del mensaje”.
🧰 Herramientas online para analizar encabezados
Pega los encabezados en estas herramientas para interpretarlos fácilmente:
📊 Diagrama visual del análisis
Puedes usar esta infografía como referencia rápida:
✅ Conclusión: Reglas de oro para detectar correos falsos
✔ Si From ≠ Return-Path, alerta
✔ Si ves IPs raras en Received, alerta
✔ Si SPF, DKIM o DMARC fallan (o están ausentes), alerta
✔ Si algo no cuadra, no hagas clic ni abras archivos
