Email Header Analyzer PRO: cómo detectar phishing con SPF, DKIM y DMARC (guía práctica)
El phishing ya no es “un correo mal escrito”. En 2026, muchos ataques llegan con diseño perfecto, firmas falsas y dominios parecidos. La diferencia entre caer o no caer suele estar en las cabeceras del email y en si pasa SPF / DKIM / DMARC.
👉 Si quieres analizar un correo en segundos, usa la herramienta: Email Header Analyzer PRO. Puedes pegar el “ver original” o subir el archivo .eml.
Por qué las cabeceras importan (y por qué el “remitente visible” no vale)
El campo From: que ves en tu cliente de correo es fácil de imitar. Un atacante puede enviar un email que “parece” venir de
soporte@tuempresa.com cuando en realidad se envió desde un servidor no autorizado o desde un dominio parecido.
La parte difícil de falsificar es el rastro técnico: la cadena Received: (por dónde pasó el mensaje) y los resultados de autenticación
que suelen aparecer en Authentication-Results. Ahí es donde se ve si el correo fue enviado por infraestructura legítima o si es un intento
de suplantación.
Checklist rápido: 7 señales de phishing en cabeceras
- SPF/DKIM/DMARC en fail o sin resultados claros.
- From no coincide con Return-Path (spoofing frecuente).
- Reply-To apunta a otro dominio distinto al remitente.
- Cadena Received rara: “unknown”, saltos extraños, rutas incoherentes.
- Enlaces con IP directa en el cuerpo (muy mala señal).
- Uso de acortadores (bit.ly, t.co) para ocultar destino real.
- Punycode (xn--) o dominios “parecidos” a marcas conocidas.
SPF, DKIM y DMARC explicado sin humo
SPF: “¿este servidor podía enviar en nombre del dominio?”
SPF define qué servidores están autorizados a enviar email por un dominio. Si el mensaje fue enviado desde un servidor no autorizado, aparece como
spf=fail (o softfail).
Si en las cabeceras ves algo como:
Authentication-Results: ... spf=fail ... smtp.mailfrom=...
es una señal fuerte de suplantación o mala configuración del remitente.
DKIM: “¿este contenido fue firmado y no se modificó?”
DKIM firma partes del mensaje con criptografía. Si el mensaje se modifica en tránsito (o el atacante intenta inyectar contenido), DKIM puede fallar.
Un dkim=fail es una alerta seria en correos corporativos.
DMARC: “¿qué hacer si SPF/DKIM fallan?”
DMARC define la política del dominio (rechazar, cuarentena, none) y valida alineación. Un dmarc=fail suele indicar que el email
no está alineado con el dominio visible del remitente.
💡 Tip: nuestro Email Header Analyzer PRO interpreta los resultados presentes en el propio correo, te calcula un score y te explica el porqué.
Cómo analizar un email paso a paso con Email Header Analyzer PRO
1) Obtén el “ver original” o el .eml
- Gmail: ⋮ → “Mostrar original”
- Outlook: “Ver origen del mensaje”
- Thunderbird: “Ver código fuente”
Copia todo (cabeceras + cuerpo) o guarda como .eml.
2) Pega o sube el archivo
En la herramienta puedes pegar el contenido completo o subir el archivo. Luego pulsa Analizar.
3) Revisa veredicto y score
El score (0–100) combina señales técnicas: autenticación, incoherencias de dominio, enlaces raros y cabeceras incompletas. Te dará un veredicto: Probablemente legítimo, Sospechoso o Alto riesgo.
Herramientas relacionadas (para análisis avanzado)
- 🔐 Email Header Analyzer PRO – Cabeceras + SPF/DKIM/DMARC.
- 🔎 Decodificador Base64 online – Decodifica contenido oculto.
- 📄 Validador JSON profesional – Revisa payloads o logs.
- 🧾 Validador XML online – Adjuntos y contenido XML.
- 🔑 Analizador de JWT – Tokens en flujos OAuth.
- 🧬 Generador y verificador de Hash – Comparar IOCs e integridad.
Conclusión
El phishing moderno se detecta con señales técnicas: autenticación, dominios, rutas y enlaces. Si quieres ahorrar tiempo y tener un diagnóstico claro, usa Email Header Analyzer PRO.