| # | IP origen | Mensajes | Header From | Política | SPF | DKIM | Dom. auth. | Diagnóstico | Acción |
|---|
Las claves se usan solo en tu navegador y no se envían a ningún servidor externo a las APIs indicadas.
Los informes DMARC aggregate (RUA) que tus proveedores de email te envían a diario o semanalmente, habitualmente desde noreply-dmarc-support@google.com, dmarc-reports@microsoft.com o similares. Los archivos suelen venir como .xml, .xml.gz o dentro de un .zip. Puedes arrastrar varios a la vez — el analizador los consolida en un único informe.
Si no recibes informes todavía, añade en tu DNS un registro TXT tipo _dmarc.tudominio.com con valor v=DMARC1; p=none; rua=mailto:informes@tudominio.com y empezarán a llegarte en 24-48 horas.
Tres bloques de diagnóstico con recuento de IPs, una tabla completa de fuentes y tu política DMARC actual. Cada fila se clasifica automáticamente en una de estas cuatro categorías:
Si tu tasa DMARC es superior al 90%, puedes plantearte subir la política de p=none a p=quarantine o incluso p=reject. Entre 70% y 90% indica que tienes fuentes legítimas sin alinear — arréglalas antes de subir la política. Por debajo del 70%, sigue en p=none y usa esta herramienta para identificar qué corregir.
Las filas marcadas como posible ataque deben investigarse con prioridad: anota la IP, cruza con tu extractor de IOCs para enriquecerla con VirusTotal o AbuseIPDB y decide si bloquear o escalar el caso.
El análisis ocurre íntegramente en tu navegador. Ningún archivo, IP o dominio sale de tu equipo. Puedes desconectar internet después de cargar la página y seguirá funcionando. Verificable en DevTools → Network.
Las cabeceras completas de un mensaje de email. Se obtienen según tu cliente de correo:
Copia todo desde la primera línea (Return-Path: o Received:) hasta la primera línea en blanco antes del cuerpo. Puedes pegar también el fichero .eml completo — el analizador ignora el cuerpo del mensaje y procesa solo la zona de cabeceras.
Un veredicto rápido de tres tarjetas: resultado DMARC (pass/fail), nivel de riesgo agregado (limpio, avisos o críticos) y enrutamiento (número de saltos y tiempo total de tránsito).
Debajo aparece el detalle completo:
Un mensaje sin alertas críticas y con DMARC=pass es probablemente legítimo. Un DMARC=fail combinado con From ≠ Return-Path es una señal fuerte de suplantación — revisa el dominio del Return-Path, suele delatar al emisor real.
Los clock skew (saltos con timestamp anterior al previo) suelen ser errores de reloj inofensivos en servidores intermedios, pero combinados con otras anomalías pueden indicar inyección de cabeceras falsas por un atacante que no supo falsear bien la secuencia temporal.
Los retrasos superiores a una hora entre saltos son raros en correo legítimo — pueden indicar greylisting, cola saturada, o que el mensaje ha pasado por un servicio intermedio no declarado.
Todo el parseo ocurre en tu navegador. Las cabeceras que pegues no salen de tu equipo. Si necesitas enriquecer alguna IP o dominio con threat intelligence externa, usa el botón → IOC para enviarlas al extractor — tú decides cuándo hacer la consulta online.
Cualquier texto que pueda contener indicadores de compromiso:
.eml.El extractor busca patrones, no necesita formato específico. También puedes llegar aquí con datos prerrellenados desde el analizador DMARC (botón → IOC con todas las IPs sospechosas) o desde el analizador de cabeceras.
Los IOCs encontrados agrupados por tipo:
http, https, ftp.Cada IOC lleva una etiqueta que indica su procedencia (texto libre, URL, email) y, cuando procede, una nota automática: "IP privada/interna" para rangos RFC1918, "infraestructura conocida" para dominios de proveedores comunes como Google, Microsoft o Cloudflare — estos suelen ser ruido y no amenazas.
Si has configurado tu API key de VirusTotal o AbuseIPDB en la sección de Threat Intelligence (opcional), cada IOC muestra un botón para consultar su reputación al instante, o usa Lookup TI para enriquecer todos a la vez con rate limiting automático.
Un IOC marcado como "infraestructura conocida" casi nunca es la amenaza — filtrarlo te ayuda a centrarte en lo que importa. Los hashes y las CVEs rara vez son falsos positivos: si aparecen, merecen investigación directa.
En los resultados de VirusTotal, más de 5 detecciones maliciosas sobre el total de engines es una señal fuerte; entre 1 y 5 puede ser falso positivo de algún engine agresivo — contrasta con otras fuentes. En AbuseIPDB, confidence score superior al 50% indica IP con historial reciente de abuso documentado por múltiples reportantes.
Exporta los resultados a CSV para tu informe de incidente o a JSON para importarlos en un SIEM o TIP.
La extracción de patrones ocurre en tu navegador. Las API keys de VirusTotal y AbuseIPDB se guardan solo en tu sesión (no persisten entre recargas) y las consultas se hacen directamente desde tu navegador a las APIs oficiales — ningún IOC pasa por un servidor intermedio nuestro.