← RFC Reference

Cómo Funcionan los Filtros de Spam

Email Concepts Encyclopedia Published March 2026
ELI5: Imagina un portero en un club. Antes de llegar a la puerta, verifica si estás en la lista de prohibidos (listas negras). En la puerta, revisan tu identificación (autenticación). Adentro, observan cómo estás vestido y lo que dices (filtrado de contenido). Y si los clientes habituales se quejan constantemente de ti, te echan sin importar nada más (señales de engagement). Los filtros de spam funcionan en capas, cada uno atrapando lo que el anterior dejó pasar.

El pipeline de filtrado que atraviesa cada correo electrónico — desde comprobaciones en tiempo de conexión hasta clasificadores de aprendizaje automático — y cómo los proveedores principales deciden qué llega a la bandeja de entrada.

El Pipeline de Filtrado

El filtrado de spam no es una única comprobación. Es un pipeline de múltiples etapas que evalúa un mensaje en cada fase de la transacción SMTP y después de la entrega. Cada etapa puede rechazar, diferir o marcar un mensaje. Las etapas siguen aproximadamente este orden:

  1. Comprobaciones en tiempo de conexión — Reputación de IP, listas negras, limitación de velocidad
  2. Comprobaciones de envolvente — Verificación del remitente, validación del destinatario
  3. Comprobaciones de autenticación — Evaluación de SPF, DKIM, DMARC
  4. Análisis de encabezados — Validación estructural, comprobaciones de coherencia
  5. Análisis de contenido — Escaneo de cuerpo, comprobación de URL, inspección de archivos adjuntos
  6. Puntuación de reputación — Reputación del remitente ponderada contra todas las señales
  7. Clasificación de aprendizaje automático — Modelos Bayesianos y de redes neuronales
  8. Señales posteriores a la entrega — Engagement, acciones del usuario, retroalimentación de denuncias

Los filtros de spam modernos en proveedores como Gmail y Outlook ejecutan la mayoría de estos en paralelo, produciendo una puntuación compuesta que determina la colocación en la bandeja de entrada. Pero entenderlos como un pipeline ayuda a explicar cómo cada capa contribuye.

Etapa 1: Comprobaciones en Tiempo de Conexión

Antes de que se transmita un solo byte de contenido de correo electrónico, el servidor receptor evalúa la dirección IP que se conecta.

# Conexión desde una IP en lista negra
550 5.7.1 Servicio no disponible; cliente [198.51.100.42] bloqueado
utilizando zen.spamhaus.org

Las comprobaciones en tiempo de conexión son el filtro más rentable. Rechazar en conexión ahorra al servidor procesar todo el mensaje.

Etapa 2: Comprobaciones de Envolvente

Durante la fase de envolvente SMTP (MAIL FROM y RCPT TO), se ejecutan comprobaciones adicionales:

Etapa 3: Comprobaciones de Autenticación

Una vez que llega el contenido del mensaje, el servidor evalúa la autenticación de correo electrónico:

Los resultados de autenticación se registran en el encabezado Authentication-Results:

Authentication-Results: mx.google.com;
dkim=pass header.i=@example.com header.s=mtg;
spf=pass (google.com: 198.51.100.42 está permitido) smtp.mailfrom=example.com;
dmarc=pass (p=REJECT) header.from=example.com

La autenticación es un requisito previo, no una garantía. Pasar SPF, DKIM y DMARC no significa que su mensaje llegue a la bandeja de entrada. Los spammers también pueden configurar autenticación válida. Pero fallar en autenticación es una señal fuertemente negativa que casi con certeza enrutará su mensaje a spam o rechazo.

Etapa 4: Análisis de Encabezados

Los filtros de spam inspeccionan los encabezados de mensajes en busca de anomalías:

Etapa 5: Análisis de Contenido

El análisis de contenido examina el cuerpo del mensaje, estructura HTML y archivos adjuntos.

Análisis de texto y HTML

Análisis de URL y enlaces

Análisis de archivos adjuntos

Etapa 6: Puntuación de Reputación

Todas las señales anteriores se alimentan en un modelo de reputación. Aquí es donde la reputación de IP y dominio tiene su mayor impacto.

La reputación actúa como un multiplicador. Un remitente con excelente reputación obtiene el beneficio de la duda — el contenido borderline se entrega a la bandeja de entrada. Un remitente con mala reputación no obtiene beneficio de la duda — incluso el contenido limpio puede ser filtrado. Por eso la reputación a menudo es más importante que el contenido.

Los proveedores ponderan las señales de manera diferente:

Etapa 7: Clasificación de Aprendizaje Automático

Los filtros de spam modernos utilizan modelos de aprendizaje automático entrenados en miles de millones de mensajes.

Filtrado Bayesiano

La técnica fundamental. Un filtro Bayesiano calcula la probabilidad de que un mensaje sea spam basado en la frecuencia de sus palabras (tokens) en corpus conocidos de spam versus ham. Si la palabra "factura" aparece en 80% del ham y 5% del spam, es una fuerte señal ham. Si "desuscribirse" aparece junto con "¡Felicidades! ¡Ganaste!" la probabilidad combinada se desplaza hacia spam.

Los filtros Bayesianos son adaptativos — aprenden de nuevos mensajes. Cuando un usuario marca un mensaje como spam, el filtro actualiza sus tablas de probabilidad. Este aprendizaje por usuario es por qué el mismo mensaje podría ser filtrado como spam para un usuario y entregado a la bandeja de entrada para otro.

Modelos de redes neuronales

Los proveedores principales ahora utilizan modelos de aprendizaje profundo que van mucho más allá de las frecuencias de palabras individuales. Estos modelos evalúan:

Los filtros de spam de Google, por ejemplo, procesan más del 99,9% del spam antes de que llegue a ninguna bandeja de entrada, mientras mantienen una tasa de falsos positivos por debajo del 0,05%. Esto solo es posible con aprendizaje automático a gran escala.

Etapa 8: Señales Posteriores a la Entrega

El filtrado no se detiene cuando el mensaje llega a la bandeja de entrada. Las señales posteriores a la entrega refinan continuamente la colocación:

El filtrado basado en engagement crea un bucle de retroalimentación: si sus primeros mensajes a un nuevo suscriptor no se abren, es más probable que los mensajes futuros se filtren. Por eso el consejo de calentamiento de IP siempre dice comenzar con sus destinatarios más comprometidos.

Cómo Difieren los Proveedores Principales

Gmail

El filtrado de Gmail es el más sofisticado y más impulsado por el engagement. Características clave:

Outlook.com / Microsoft 365

Yahoo / AOL

Prueba de Filtro de Spam y Depuración

Cuando sus mensajes caen en spam, necesita un enfoque sistemático para diagnosticar la causa.

Lectura de encabezados de filtro

La mayoría de los filtros de spam agregan encabezados al mensaje que revelan su veredicto. Envíe un mensaje de prueba a usted mismo e inspeccione los encabezados sin formato:

# Gmail añade estos encabezados (visibles en "Mostrar original"):
X-Gm-Message-State: [datos de estado interno]
X-Google-DKIM-Signature: [firma propia de Google]
Authentication-Results: mx.google.com;
spf=pass ... dkim=pass ... dmarc=pass

# Microsoft añade:
X-Microsoft-Antispam: BCL:0;
X-MS-Exchange-Organization-SCL: 1
# SCL (Nivel de Confianza de Spam): -1=seguro, 0-4=entregado, 5-6=basura, 7-9=bloqueado

# SpamAssassin (código abierto, ampliamente utilizado) añade:
X-Spam-Status: No, puntuación=-1.2 requerida=5.0
pruebas=DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,SPF_PASS,
RCVD_IN_DNSWL_LOW autolearn=ham

Estos encabezados le dicen exactamente qué pruebas se aplicaron y cuáles fueron sus resultados. El encabezado Authentication-Results está estandarizado; los encabezados de puntuación de spam son específicos del filtro.

Prueba de semillas

Envíe mensajes de prueba a cuentas en múltiples proveedores (Gmail, Outlook, Yahoo, servidores corporativos) y verifique si caen en bandeja de entrada o spam. Haga esto antes de cada campaña importante o cambio de infraestructura. Varios servicios de terceros automatizan esto con paneles de direcciones de prueba en docenas de proveedores.

Aislamiento de la variable

Si un mensaje cae en spam, cambie una variable a la vez para identificar el desencadenante:

Qué Puede Salir Mal

Correo electrónico legítimo filtrado como spam

Sus correos transaccionales (restablecimientos de contraseña, confirmaciones de pedidos) caen en spam porque sus correos de marketing en el mismo dominio hundieron su reputación de dominio. La solución: considere separar correos transaccionales y de marketing en subdominios diferentes para que el daño de reputación del marketing no afecte la entrega transaccional crítica.

El contenido desencadena en contenido legítimo

Su correo de factura contiene la palabra "pago" más un archivo adjunto más un enlace — todo legítimo, pero la combinación obtiene una puntuación alta. La solución: asegure autenticación fuerte y reputación para que las señales de contenido se evalúen en el contexto de un remitente de confianza.

Espiral de muerte de engagement

Envía a una lista grande de suscriptores inactivos. Pocos abren su correo. La baja tasa de engagement hace que los proveedores muevan mensajes posteriores a spam. Incluso menos personas los ven. Las tasas de apertura caen más. Más mensajes van a spam. La solución: poda regularmente suscriptores inactivos y utiliza campañas de reenganche antes de que se desvinculen.

Bloqueo de URL

Un dominio enlazado en sus correos se pone en lista negra (tal vez su dominio de seguimiento, o un acortador de enlaces compartido). Cada correo que contiene ese enlace ahora se marca. La solución: utilice su propio dominio para enlaces de seguimiento, monitoree la reputación de enlaces y evite acortadores de URL compartidos en correo.

Conclusiones Clave

Lectura Adicional

Related RFCs