Ir al contenido principal
CaptainDNS
NUEVO·Monitorización de seguridad y entregabilidad del correo. Recibe una alerta en cuanto un cambio de puntuación o de registro DNS pone en riesgo tu dominio.Más información

Analizador de cabeceras de correo (encabezados de email)

Comprueba SPF, DKIM, DMARC y por qué tu correo va a spam

¿Tus correos llegan a la carpeta de spam? Este analizador de cabeceras de correo online y gratuito te permite leer y analizar las cabeceras (o encabezados) de un email para comprobar SPF, DKIM, DMARC y Authentication-Results, y descubrir por qué falla la entrega. Pega tus encabezados aquí.

Pega los encabezados brutos del correo (RFC 5322). El cuerpo es opcional.

Tamaño máx.: 64 KB0 / 65536 caracteres
Pega los encabezados de un mensaje recibido para identificar participantes, veredictos de autenticación y la ruta de entrega.

Guía paso a paso

Extrae las cabeceras desde Gmail (Mostrar original), Outlook (Ver origen del mensaje) o Apple Mail. Pégalas en la herramienta y obtén el diagnóstico completo en segundos.

Autenticación completa

Interpreta Authentication-Results y comprueba SPF (spf=pass / spf=fail), DKIM, DMARC y BIMI. Identifica al instante qué falla y por qué.

Veredictos anti-spam detallados

Analiza puntuaciones y veredictos de Gmail, Microsoft 365 y otros motores. Comprende por qué tu correo acaba en la carpeta de spam.

Ruta del correo y servidores

Lee las líneas Received para rastrear cada salto (hop) desde el servidor de envío hasta el destinatario. Identifica la IP y el servidor de origen, y detecta relays sospechosos.

Detección de anomalías

Detecta suplantación (From falsificado), alineación DMARC fallida entre From, smtp.mailfrom y Return-Path, y firmas DKIM inválidas.

¿Por qué analizar las cabeceras de un correo?

Las cabeceras de correo (también llamadas "encabezados", "origen del email", "encabezados de Internet" o "mensaje original") registran cada paso del viaje de tu mensaje: servidor de envío, dirección IP de origen, ruta de enrutamiento, verificaciones de seguridad (SPF/DKIM/DMARC) y veredictos anti-spam. Este analizador de cabeceras de correo online y gratuito te permite leer y decodificar el origen de un email para un diagnóstico de entregabilidad completo. Sin análisis, trabajas a ciegas.

Tanto si dices "cabeceras" (más habitual en España) como "encabezados" (más habitual en Latinoamérica), hablamos de lo mismo: el bloque de metadatos técnicos que precede al cuerpo del mensaje.

Tres casos de uso principales:

  • Correos en spam → descubre si la causa es SPF, DKIM, DMARC, la reputación o el contenido
  • Correo no entregado → encuentra dónde se detuvo y por qué
  • Verificar la autenticidad de un correo → detecta intentos de phishing y suplantación

Cómo usar el analizador en 3 pasos

Paso 1: Extraer las cabeceras

Gmail / Google Workspace:

  1. Abre el correo
  2. Haz clic en los 3 puntos (⋮) → "Mostrar original"
  3. Copia todo el texto

Outlook / Microsoft 365:

  1. Abre el correo
  2. En Outlook web o el nuevo Outlook: "Ver origen del mensaje". En el Outlook clásico: "Acciones" → "Otras acciones" → "Ver origen" o "Encabezados de Internet"
  3. Copia el contenido

Apple Mail:

  1. Abre el correo
  2. Menú "Mensaje" → "Mostrar todos los encabezados"
  3. Copia el texto

Paso 2: Pegar en el analizador

Pega el encabezado bruto completo en el formulario superior. La herramienta analiza automáticamente:

  • ✅ Autenticación SPF, DKIM, DMARC, BIMI
  • ✅ Veredictos anti-spam (Gmail, Microsoft, etc.)
  • ✅ Enrutamiento y servidores intermedios
  • ✅ Anomalías y riesgos de suplantación

Paso 3: Leer los resultados

Obtienes un informe claro con:

  • Estado de autenticación (pass/fail para cada protocolo)
  • Razón del fallo (si aplica)
  • Acciones recomendadas para corregir

¿Quieres entender campo por campo lo que ves? Consulta nuestra guía completa para leer las cabeceras de un correo.

¿Qué es una cabecera de correo?

Una cabecera de correo (también llamada "encabezado", "origen del email" o "mensaje original") es el historial completo de un mensaje: quién lo envió, desde qué servidor e IP, por qué relays pasó, qué verificaciones se hicieron y qué veredicto se emitió. Saber leer las cabeceras de un correo te ayuda a entender exactamente qué pasó.

A diferencia del cuerpo del correo (que ves), buena parte de la cabecera es difícil de falsificar: las líneas Received y la cabecera Authentication-Results las añaden los servidores por los que pasa el mensaje. Por eso los investigadores de seguridad y administradores de correo las usan para verificar la autenticidad de un email e identificar intentos de phishing.

Campos clave que verás:

  • From (header.from): el remitente visible, sobre el que DMARC comprueba la alineación
  • Return-Path / smtp.mailfrom: el remitente del sobre, usado por SPF
  • Authentication-Results: el veredicto de SPF, DKIM y DMARC
  • Received: cada salto (hop) de la ruta, con la IP del servidor de origen
  • Message-ID: el identificador único del mensaje
  • DKIM-Signature: la firma DKIM aplicada al contenido

Ejemplo simplificado:

From: alice@captaindns.com
To: bob@captaindns.com
Date: 19 Jan 2026 10:30:00 +0000
Message-ID: <a1b2c3@captaindns.com>
Return-Path: <alice@captaindns.com>
Authentication-Results: mx.captaindns.com; spf=pass smtp.mailfrom=captaindns.com; dkim=pass header.d=captaindns.com; dmarc=pass header.from=captaindns.com
X-Spam-Score: 2.1 (LOW)
Received: from mail.captaindns.com (203.0.113.5) by mx.captaindns.com

¿Qué analiza exactamente la herramienta?

Autenticación de email (SPF, DKIM, DMARC, BIMI)

ProtocoloVerificaResultado
SPF¿Está autorizado el servidor de envío?✅ Pass / ❌ Fail
DKIM¿Se modificó el correo en tránsito?✅ Pass / ❌ Fail
DMARC¿El remitente está alineado con SPF/DKIM?✅ Pass / ❌ Fail
BIMI¿Logo de marca autenticado?✅ Presente / ❌ Ausente

El analizador lee estos veredictos directamente de la cabecera Authentication-Results. Si quieres comprobar y corregir la configuración de tu dominio, usa el verificador de registro SPF, el verificador de firma DKIM y el verificador de política DMARC.

Veredictos anti-spam

El analizador muestra veredictos de:

  • Gmail (puntuación de spam, veredicto final)
  • Microsoft 365 (Outlook, Exchange)
  • Otros proveedores (detectados en los encabezados)

Ruta del correo y cabeceras Received

Rastrea la ruta completa del correo a partir de las líneas Received (se leen de abajo hacia arriba):

  • Servidor de envío original y su dirección IP
  • Servidores intermedios (relays) y cada salto (hop)
  • Servidor de recepción final
  • Retrasos y marcas de tiempo entre saltos

Esta cadena Received te permite identificar la IP del servidor de envío y comprobar la reputación del remitente.

Detección de anomalías

La herramienta señala automáticamente:

  • ⚠️ Suplantación potencial (From ≠ dominio real)
  • ⚠️ Alineamiento DMARC fallido
  • ⚠️ Certificado DKIM inválido
  • ⚠️ Enrutamiento sospechoso (demasiados relays)

¿Por qué mi correo llega a la carpeta de spam?

Esta es la pregunta más frecuente. El análisis de cabeceras suele revelar una de estas causas:

CausaQué muestra la cabeceraSolución
SPF fallidospf=fail o spf=softfailAñade el servidor de envío a tu registro SPF
DKIM inválidodkim=fail o dkim=noneConfigura o repara la firma DKIM
DMARC fallidodmarc=fail con p=reject o p=quarantineCorrige SPF/DKIM para alinear el dominio
Puntuación spam altaX-Spam-Score: 8.5 o similarRevisa el contenido (enlaces, imágenes, palabras clave)
IP en lista negraMenciones de RBL o blocklist en la cabeceraComprueba la reputación de tu IP de envío

Consejo: pega tus encabezados en el analizador de arriba para identificar exactamente qué causa afecta a tus correos. Para profundizar, lee nuestra guía sobre por qué los correos van a spam y cómo solucionarlo.

Interpretar la cabecera Authentication-Results

La cabecera Authentication-Results es la línea más importante para diagnosticar la autenticación. Un ejemplo típico:

Authentication-Results: mx.captaindns.com;
  spf=pass smtp.mailfrom=captaindns.com;
  dkim=pass header.d=captaindns.com;
  dmarc=pass header.from=captaindns.com
  • spf=pass / spf=fail: indica si la IP de envío está autorizada para el dominio de smtp.mailfrom (el Return-Path)
  • dkim=pass / dkim=fail: indica si la firma DKIM es válida para el dominio de header.d
  • dmarc=pass / dmarc=fail: indica si SPF o DKIM están alineados con el dominio de la cabecera From (header.from)

¿Por qué SPF y DKIM pasan pero DMARC falla?

Es uno de los casos más confusos. DMARC exige alineación de identificadores: el dominio de la cabecera From debe coincidir con el dominio validado por SPF (smtp.mailfrom) o por DKIM (header.d). Si envías a través de un proveedor externo (por ejemplo, una plataforma de newsletters) y ese proveedor firma con su propio dominio, verás spf=pass y dkim=pass pero dmarc=fail, porque ninguno de los dos está alineado con tu From. La solución es configurar el envío para que SPF o DKIM usen tu propio dominio.

Casos de uso concretos

Incidente 1: todos tus correos llegan al spam

Síntoma: Envías newsletters, pero el 80% llega al spam.

Diagnóstico: Pega un correo marcado como spam en el analizador.

  • SPF = ❌ Fail → Tu servidor no está autorizado
  • DKIM = ✅ Pass
  • DMARC = ❌ Fail (SPF falló)

Acción: Añade tu servidor a tu registro SPF.

Incidente 2: un correo concreto no llega

Síntoma: Envías un correo importante y el destinatario no lo recibe.

Diagnóstico: Pide al destinatario que te pase las cabeceras.

  • Enrutamiento = ✅ Entregado a Microsoft
  • Veredicto = ❌ Rechazado por filtro anti-spam
  • Puntuación Spam = 8.5 (MUY ALTA)

Acción: Verifica enlaces, adjuntos o contenido que activa el filtro.

Incidente 3: sospechas de phishing

Síntoma: Un correo dice venir de tu banco, pero algo parece falso.

Diagnóstico: Pega la cabecera en el analizador.

  • From = noreply@captaindns.com
  • SPF = ❌ Fail (dominio no autorizado)
  • DKIM = ❌ Fail (firma inválida)
  • DMARC = ❌ Fail

Conclusión: Es phishing. El correo no viene realmente de tu banco. Para comprobar si las URLs del mensaje están reportadas como maliciosas, usa el verificador de URLs de phishing.

Incidente 4: un reenvío que falla

Síntoma: Reenvías correos a un compañero, pero llegan al spam.

Diagnóstico: El analizador muestra:

  • Ruta = 3 servidores (original → tu servidor → servidor del compañero)
  • DKIM = ❌ Fail (firma rota después del reenvío)
  • SPF = ✅ Pass (pero DMARC falla)

Acción: Configura DMARC con p=none o usa ARC (Authenticated Received Chain).

FAQ - Preguntas frecuentes

P: ¿Qué es exactamente una cabecera de correo?

R: Es el historial completo de un correo: remitente (From), destinatario, servidores atravesados (Received), verificaciones de seguridad (SPF/DKIM/DMARC) y veredictos anti-spam. Buena parte de la cabecera, como las líneas Received y Authentication-Results, la añaden los propios servidores y es difícil de falsificar.

P: ¿Cómo veo las cabeceras de un email en Gmail y Outlook?

R: Depende de tu cliente:

  • Gmail: abre el correo → 3 puntos (⋮) → "Mostrar original"
  • Outlook: "Ver origen del mensaje" (web/nuevo) o "Encabezados de Internet" (clásico)
  • Apple Mail: menú "Mensaje" → "Mostrar todos los encabezados"

P: ¿Cómo saber desde qué servidor e IP se envió un correo?

R: Lee las líneas Received de abajo hacia arriba: la más baja indica el servidor de envío original y su dirección IP. Con esa IP puedes comprobar la reputación del remitente y si está en una lista negra.

P: ¿Por qué mi correo llega a la carpeta de spam?

R: Las razones más comunes:

  1. SPF fallido (spf=fail): tu servidor de envío no está autorizado
  2. DKIM inválido (dkim=fail): el correo fue modificado o la firma está rota
  3. DMARC fallido (dmarc=fail): SPF o DKIM falló y el dominio no está alineado
  4. Contenido: enlaces sospechosos, adjuntos o palabras clave "spam"
  5. Reputación: tu IP o dominio está en una lista negra (blacklist)

P: ¿Cuál es la diferencia entre SPF, DKIM y DMARC?

R:

  • SPF: "¿Quién puede enviar desde mi dominio?" (lista blanca de IPs/servidores)
  • DKIM: "¿Se modificó este correo?" (firma criptográfica)
  • DMARC: "¿SPF y DKIM están alineados con el From?" (política de autenticación)

Analogía: SPF = lista de mensajeros autorizados, DKIM = sello en el paquete, DMARC = comprobación de que el sello y el mensajero coinciden.

P: ¿Por qué SPF y DKIM pasan pero DMARC falla?

R: Porque DMARC exige alineación: el dominio de la cabecera From debe coincidir con el de smtp.mailfrom (SPF) o con el de la firma DKIM. Si envías a través de un proveedor externo que valida con su propio dominio, verás spf=pass y dkim=pass pero dmarc=fail. Alinea tu dominio en SPF o DKIM para resolverlo.

P: ¿La herramienta es gratuita?

R: Sí, este analizador de cabeceras de correo es 100% gratuito y sin registro. Pega tus encabezados y obtén resultados instantáneos.

P: ¿Mis cabeceras son seguras?

R: Sí. Las cabeceras nunca contienen datos sensibles (sin contraseñas, sin contenido privado). Solo contienen información técnica (servidores, dominios, veredictos). No almacenamos tus datos.

P: ¿Qué hacer después del análisis?

R: Depende de los resultados:

  • SPF fallido → añade tu servidor a tu registro SPF
  • DKIM fallido → verifica o regenera tu clave DKIM
  • DMARC fallido → configura DMARC con una política apropiada y alinea el dominio
  • Spam alto → revisa el contenido y la reputación de tu IP

Herramientas complementarias

HerramientaUtilidad
Verificador de registro SPFComprobar y corregir tu registro SPF
Verificador de firma DKIMValidar tu firma DKIM
Verificador de política DMARCConfigurar y probar tu política DMARC
Verificador de propagación DNSConfirmar que tus registros DNS están propagados globalmente
Verificador blacklist IPVerificar si tu IP está en una lista negra
Verificador blacklist dominioVerificar si tu dominio está en lista negra
Verificador de URLs de phishingComprobar si una URL está reportada como phishing o malware
Monitoring DMARCRecibe y analiza automáticamente tus informes DMARC agregados

Guías relacionadas

Recursos útiles