Las cabeceras completas de un mensaje de email. Se obtienen según tu cliente de correo:
Copia todo desde la primera línea (Return-Path: o Received:) hasta la primera línea en blanco antes del cuerpo. Puedes pegar también el fichero .eml completo — el analizador ignora el cuerpo del mensaje y procesa solo la zona de cabeceras.
Un veredicto rápido de tres tarjetas: resultado DMARC (pass/fail), nivel de riesgo agregado (limpio, avisos o críticos) y enrutamiento (número de saltos y tiempo total de tránsito).
Debajo aparece el detalle completo:
Un mensaje sin alertas críticas y con DMARC=pass es probablemente legítimo. Un DMARC=fail combinado con From ≠ Return-Path es una señal fuerte de suplantación — revisa el dominio del Return-Path, suele delatar al emisor real.
Los clock skew (saltos con timestamp anterior al previo) suelen ser errores de reloj inofensivos en servidores intermedios, pero combinados con otras anomalías pueden indicar inyección de cabeceras falsas por un atacante que no supo falsear bien la secuencia temporal.
Los retrasos superiores a una hora entre saltos son raros en correo legítimo — pueden indicar greylisting, cola saturada, o que el mensaje ha pasado por un servicio intermedio no declarado.
Todo el parseo ocurre en tu navegador. Las cabeceras que pegues no salen de tu equipo. Si necesitas enriquecer alguna IP o dominio con threat intelligence externa, usa el botón → IOC para enviarlas al extractor — tú decides cuándo hacer la consulta online.