¿Qué es el encabezado de un correo electrónico ?

La cabecera de un correo es generada automáticamente por el emisor durante el envío. En el camino hacia el receptor se ve ampliada con el llamado sobre (envelope), que define la información del mensaje y la manera de procesarlo. Este bloque contiene información necesaria para una eventual respuesta. Cada campo comienza por una palabra clave seguida del contenido tras dos puntos.

Campos ocultos del encabezado

Return-Path: Si existe, esta línea suele figurar al comienzo de este segundo bloque y proporciona las opciones para la devolución al servidor de correo, en caso que la entrega no sea posible. La dirección de correo proporcionada se corresponde con la que recibe el servidor en el campo “Envelope From”.

Ejemplo:

Return-Path: <dirección-del-emisor@mail.es>


Received: Estos campos son generados por los servidores de correo implicados en su transferencia. Deben existir como mínimo dos campos por encabezado, ya que para el envío de un correo son necesarios dos servidores, uno para el envío y otro para la recepción. En estos campos se encuentra la información relativa al camino que ha recorrido el correo hasta llegar al destino, incluida la fecha y las direcciones de los servidores que ha seguido (generalmente delimitada por los signos “<” y “>”).

Ejemplo:

Received: from mx3.gmx.ejemplo (qmailr@mx3.gmx.ejemplo [195.63.104.129])

by mailserver.receptor.es with SMTP

for <receptor@mail.es>; Thu, 24 Dez 2015 17:36:20

+0200 (MET DST)


Message-ID: Todos los mensajes de correo reciben una identificación individual compuesta por un código de cifras y letras y un nombre de dominio. Generalmente es proporcionado por el servidor de correo o por el programa de correo del emisor.

Ejemplo:

Message-ID: <434571BC.8070702@mail.es>


Content-Type: Este campo contiene información sobre el tipo de texto y de fuente tipográfica del cuerpo del Email. Los parámetros se separan por punto y coma.

Ejemplo:

Content-Type: text/plain; charset=UTF-8 </receptor@mail.es></dirección-del-emisor@mail.es>

¿Cómo realizar un análisis de la cabecera de un correo?

Para poder analizar un encabezado hay que visualizarlo por completo. La mayoría de programas de correo ocultan estos contenidos, pues suelen relevantes para la transferencia pero no tanto para el receptor. Por lo que normalmente es necesario cambiar la configuración para que se muestren. Cada cliente tiene una forma ligeramente distinta de mostrar estos campos.

En Microsoft Outlook puedes hacerlo de la siguiente forma: tras abrir un mensaje haz clic en “Archivo --> Propiedades --> Encabezados de Internet”.

En Mozilla Thunderbird, haciendo clic en el menú “Ver” tras abrir un mensaje y seleccionando “Código fuente del mensaje” (la cabecera aparecerá en una ventana nueva).

Todos los proveedores de correo permiten acceder a los campos ocultos del encabezado de los correos. Revisa el tuyo en las páginas de ayuda de Google. 

Ahora que dispones de toda la información relativa a la transferencia del correo, busca la dirección IP y el nombre del primer servidor implicado en el envío. Para ello solo tienes que revisar los campos “Received” desde la primera posición (tu servidor de correo) hasta el servidor de salida, en general en el último puesto. Si existen más datos, aparentemente innecesarios, puede ser que se trate de un intento de engaño. Entonces seguro que sigue al servidor de salida, pues este campo no puede ser manipulado.

En el campo “Received:From” figura una dirección IP, que indica desde dónde salió el correo y que podemos rastrear en la página del Arin −American Registry for Internet Numbers−, del Ripe Network Coordination Centre o en Networks Tools. Aquí es posible obtener información sobre el lugar de origen del correo, incluso si pertenece a una compañía, con una dirección donde poder denunciar el fraude. Por otro lado, herramientas como Geobytes localizan geográficamente la IP introducida.

Otras formas de investigar una IP es introducirla en el buscador de Google, donde aparecerá vinculada a un usuario en particular si la usa de manera fija, o comprobar si figura en las listas negras de SURBL, XBL o Dmoz.

Un par de herramientas cuyo uso resulta fácil e intuitivo son los analizadores o parsers online, que suelen ser por lo general, bastante rápidos. Solo hay que introducir el encabezado al completo en el campo central y comenzar la búsqueda. Entre ellos se encuentran Mail Parse, eToolz o la herramienta de Google, y muchos más.

Así se manipulan los encabezados

Quien envía spam no aspira a obtener respuesta a sus correos ni desea ser encontrado, por lo que suele permanecer anónimo. Es por eso que los campos “From” y “Return-Path” no se corresponden con la realidad, pues los verdaderos emisores se esconden tras identidades falsas.

En los últimos tiempos se ha dado el caso frecuente de personas que reciben correos que parecen provenir de DHL, de Correos, de PayPal, de eBay e incluso de las administraciones. Identificarlos suele ser muy sencillo si se realiza un análisis detallado de su encabezado –pues la mayoría de las direcciones usadas no suelen ser idénticas a las originales. Lo que sigue siendo difícil es dar con el emisor de tales correos, ya que trabajan con servidores configurados erróneamente o con computadoras infectadas que les sirven de intermediarios, evitando así su identificación a través del encabezado.

Los únicos campos que los spammers no pueden manipular son los de “Received”. Esto es así porque no pueden acceder al último campo “Received”, que contiene normalmente la IP de salida y que es generada automáticamente por el servidor del receptor. La manipulación de estos campos suele causar confusión entre los usuarios, pues quien envía el correo basura puede introducir itinerarios falsos, simplemente presentando el propio servidor como parte del itinerario, en lugar de dejarlo al principio –el que sería su lugar natural.