emailr_
Todos los artículos
explainer·9 min

Encabezados de seguridad de email que todo desarrollador debería conocer

securityheadersbest-practices

Resumen

Los encabezados de email contienen información de seguridad crucial que determina si tu mensaje es confiable o marcado como sospechoso. Entenderlos te ayuda a depurar problemas de entregabilidad y a construir sistemas de email más seguros.

Hace algunos años, pasé tres días depurando por qué los emails transaccionales de un cliente terminaban en spam. El contenido estaba bien. SPF y DKIM estaban configurados correctamente. DMARC pasaba. Todo parecía perfecto—hasta que leí los encabezados en bruto.

Enterrado en el mensaje había un encabezado que decía "X-Spam-Status: Yes, score=8.2". El propio servidor de correo del cliente estaba marcando los mensajes como spam antes de que siquiera salieran del edificio. Un filtro de spam mal configurado añadía ese encabezado, y los servidores posteriores lo estaban confiando.

Los encabezados de email cuentan una historia. Registran cada servidor que tocó un mensaje, cada verificación de autenticación que se ejecutó, cada puntuación de spam que se calculó. Aprender a leerlos es como aprender a leer una historia clínica—de repente puedes diagnosticar problemas que parecían misteriosos.

La anatomía de los encabezados de email

Los encabezados de email aparecen en la parte superior de cada mensaje, aunque la mayoría de los clientes de correo los ocultan por defecto. Son una serie de pares clave-valor, cada uno en su propia línea, que registran metadatos sobre el mensaje y su recorrido.

Los encabezados se añaden en orden cronológico inverso. El encabezado más reciente está arriba; los encabezados originales del remitente están abajo. Esto importa cuando rastreas el camino de un mensaje—lees de abajo hacia arriba para seguir el recorrido cronológico.

Algunos encabezados los establece el remitente: From, To, Subject, Date. Otros los añaden los servidores en el camino: encabezados Received de cada servidor de correo, resultados de autenticación, puntuaciones de spam. Entender qué encabezados vienen de dónde te ayuda a interpretar lo que estás viendo.

Encabezados Received: rastreando el camino

Cada servidor de correo que maneja un mensaje añade un encabezado Received. Estos crean un rastro de migas que muestra exactamente cómo viajó el mensaje del remitente al destinatario.

Un encabezado Received típico incluye el servidor que recibió el mensaje, el servidor del que lo recibió, el protocolo usado y una marca de tiempo. Leerlos de abajo hacia arriba te muestra el recorrido completo.

Esto es invaluable para depurar. Si un mensaje se retrasa, los encabezados Received muestran dónde se quedó atascado. Si está siendo rechazado, puedes ver qué servidor lo rechazó. Si se está modificando en tránsito, puedes identificar qué servidor hizo cambios.

Observa patrones sospechosos. Un mensaje que afirma ser de una gran empresa pero cuyos encabezados Received muestran que se originó desde una dirección IP residencial es casi con certeza fraudulento. El email corporativo legítimo no sale de la conexión a internet del hogar de alguien.

Authentication-Results: el veredicto

El encabezado Authentication-Results es donde los servidores receptores registran el resultado de las verificaciones de autenticación. Este único encabezado te dice si SPF, DKIM y DMARC pasaron o fallaron, y a menudo incluye detalles del porqué.

Un encabezado Authentication-Results típico puede mostrar SPF pasando con la dirección IP que se verificó, DKIM pasando con el dominio que firmó el mensaje y DMARC pasando con la política aplicada. O puede mostrar fallos, con códigos de razón explicando qué salió mal.

Al depurar entregabilidad, este suele ser el primer encabezado que debes revisar. Si la autenticación está fallando, la razón normalmente está aquí. "SPF softfail" te indica que tu registro SPF no está del todo bien. "DKIM signature verification failed" sugiere que el mensaje se modificó en tránsito o que la firma está mal formada.

Diferentes servidores receptores formatean este encabezado de manera ligeramente distinta, pero la información es similar. Gmail, Microsoft, Yahoo—todos registran los resultados de autenticación, solo con variaciones menores en la sintaxis.

DKIM-Signature: la prueba criptográfica

El encabezado DKIM-Signature contiene la firma criptográfica que demuestra que un mensaje no ha sido alterado desde que salió del servidor que lo firmó. Parece complejo, pero sigue una estructura consistente.

El encabezado especifica qué algoritmo se utilizó, qué dominio firmó el mensaje, qué selector usar para buscar la clave pública, qué encabezados están cubiertos por la firma, un hash del cuerpo y la propia firma.

Para depurar, las partes más útiles son el dominio (d=) y el selector (s=). Estos te dicen dónde buscar la clave pública. Si DKIM está fallando, puedes comprobar manualmente si el registro DNS existe y contiene una clave válida.

Los encabezados cubiertos por la firma (h=) también importan. Si un encabezado listado ahí se modificó en tránsito, la firma se rompe. Los culpables comunes incluyen líneas de Subject modificadas por listas de correo o encabezados From reescritos por servicios de reenvío.

Encabezados X-Spam: las señales de reputación

Muchos servidores de correo añaden encabezados que indican su evaluación de spam. No están estandarizados—diferentes servidores usan nombres y formatos de encabezado distintos—pero son increíblemente útiles para entender por qué se están filtrando mensajes.

SpamAssassin, uno de los filtros de spam más comunes, añade los encabezados X-Spam-Status y X-Spam-Score. El estado muestra si el mensaje fue clasificado como spam, y la puntuación muestra la calificación numérica. Puntuaciones más altas significan más parecido a spam.

X-Spam-Flag es un indicador simple de sí/no. X-Spam-Report a menudo contiene un desglose detallado de qué reglas se activaron y cuántos puntos aportó cada una. Este desglose es oro para depurar—te dice exactamente qué no le gustó al filtro.

Si estás viendo problemas de clasificación como spam, busca estos encabezados. A menudo revelan problemas específicos: "MISSING_DATE" significa que olvidaste el encabezado Date, "HTML_IMAGE_ONLY" significa que tu mensaje son solo imágenes sin texto, "RCVD_IN_BRBL" significa que tu IP de envío está en una lista negra.

List-Unsubscribe: el encabezado de cumplimiento

El encabezado List-Unsubscribe no trata de seguridad en el sentido tradicional, pero es crucial para la entregabilidad y el cumplimiento. Les dice a los clientes de correo cómo los destinatarios pueden darse de baja de tus mensajes.

Los clientes modernos—Gmail, Apple Mail, Outlook—muestran un enlace para darse de baja de forma destacada cuando este encabezado está presente. Esto es bueno para los destinatarios y para ti: una baja fácil significa menos quejas de spam, lo que se traduce en mejor entregabilidad.

El encabezado puede contener un enlace mailto, una URL HTTPS o ambos. La mejor práctica es incluir ambos, dando opciones a los clientes de correo. El encabezado más reciente List-Unsubscribe-Post habilita la baja con un solo clic sin requerir que el usuario visite una página web o envíe un email.

Para email de marketing y envíos masivos, este encabezado es esencialmente obligatorio. Gmail y otros proveedores penalizan los mensajes sin él. Para email transaccional, es menos crítico pero sigue siendo una buena práctica para cualquier notificación recurrente.

Message-ID: el identificador único

Cada email debe tener un encabezado Message-ID único. Este identificador permite a los sistemas de correo rastrear mensajes, detectar duplicados y encadenar conversaciones correctamente.

Un Message-ID adecuado parece una cadena aleatoria seguida de @ y un nombre de dominio. El dominio debe ser uno que controles—usar tu dominio de envío es la práctica estándar. La parte aleatoria debe ser verdaderamente única; los UUID funcionan bien.

Faltas o formatos incorrectos de Message-ID causan problemas. Algunos filtros de spam marcan mensajes sin él. El encadenado se rompe en los clientes de correo. La detección de duplicados falla, lo que potencialmente provoca que el mismo mensaje se entregue varias veces.

Si estás construyendo sistemas de envío de email, genera Message-ID adecuados. Es un detalle pequeño que evita problemas molestos más adelante.

Reply-To vs From: el enrutamiento de respuestas

El encabezado From muestra quién envió el mensaje. El encabezado Reply-To, cuando está presente, les dice a los clientes de correo adónde enviar las respuestas. Pueden ser diferentes, y entender cuándo usar Reply-To importa.

Un patrón común: los emails de marketing vienen de [email protected] pero tienen Reply-To establecido en [email protected]. Esto te permite enviar desde una dirección dedicada de marketing mientras enrutas las respuestas a tu equipo de soporte.

Ten cuidado con Reply-To. Algunos filtros de spam ven con sospecha los direcciones From y Reply-To que no coinciden, especialmente si los dominios son diferentes. Es una técnica que usan los atacantes de phishing para hacer que emails fraudulentos parezcan legítimos mientras capturan respuestas.

Para email transaccional, mantener From y Reply-To iguales (o omitir Reply-To por completo) suele ser lo mejor. Para email de marketing, usar Reply-To para enrutar respuestas a una bandeja de entrada monitoreada tiene sentido.

Leer encabezados en la práctica

Cuando estás depurando un problema de email, aquí tienes un enfoque sistemático para leer encabezados.

Empieza por Authentication-Results. ¿Pasaron SPF, DKIM y DMARC? Si no, probablemente ya encontraste tu problema. Los detalles en este encabezado normalmente explican qué salió mal.

Luego, revisa los encabezados Received. Rastrea el camino del mensaje de abajo hacia arriba. Busca servidores inesperados, largos retrasos entre saltos o servidores que podrían haber modificado el mensaje.

Busca encabezados relacionados con spam. X-Spam-Status, X-Spam-Score, X-Spam-Flag—cualquiera de estos puede revelar por qué un mensaje fue filtrado. Los informes detallados a menudo señalan problemas específicos que se pueden solucionar.

Por último, revisa lo básico. ¿Hay un Message-ID válido? ¿Está presente y es razonable el encabezado Date? ¿Está From configurado correctamente? Encabezados básicos faltantes o mal formateados activan filtros de spam.

Frequently asked questions

¿Cómo veo los encabezados de email?

En Gmail, abre el mensaje y haz clic en el menú de tres puntos, luego 'Mostrar original'. En Outlook, abre el mensaje, haz clic en Archivo y luego en Propiedades. La mayoría de los clientes de correo tienen una opción similar de 'ver fuente' o 'mostrar encabezados'.

¿Se pueden falsificar los encabezados de email?

Los encabezados establecidos por el remitente (From, Subject, etc.) se pueden falsificar. Los encabezados añadidos por los servidores receptores (Received, Authentication-Results) son más difíciles de falsificar porque se añaden después de que el mensaje llega. Por eso los resultados de autenticación del servidor receptor son confiables.

¿Por qué veo varios encabezados Authentication-Results?

Cada servidor que realiza verificaciones de autenticación puede añadir su propio encabezado. Podrías ver uno del servidor entrante de tu proveedor de email y otro de un filtro de spam interno. El más relevante suele ser el del servidor receptor final.

¿Cuál es la diferencia entre Return-Path y From?

From es la dirección que se muestra a los destinatarios. Return-Path (también llamado envelope sender) es adonde se envían los rebotes. A menudo son iguales, pero pueden diferir. SPF verifica el dominio del Return-Path, no el dominio de From—por eso existe DMARC para alinearlos.

e_

Escrito por el equipo de emailr

Construyendo infraestructura de email para desarrolladores

Continuar leyendo

explainer

¿Qué hace que los emails vayan a spam?

10 minexplainer

¿Qué es SPF? Guía completa para desarrolladores

8 minexplainer

Qué es el email spoofing y cómo prevenirlo

8 min

¿Listo para empezar a enviar?

Obtén tu clave API y envía tu primer email en menos de 5 minutos. No se requiere tarjeta de crédito.

Comenzar gratisHablar con ventas