Cómo Funcionan los Filtros de Spam
El pipeline de filtrado que atraviesa cada correo electrónico — desde comprobaciones en tiempo de conexión hasta clasificadores de aprendizaje automático — y cómo los proveedores principales deciden qué llega a la bandeja de entrada.
El Pipeline de Filtrado
El filtrado de spam no es una única comprobación. Es un pipeline de múltiples etapas que evalúa un mensaje en cada fase de la transacción SMTP y después de la entrega. Cada etapa puede rechazar, diferir o marcar un mensaje. Las etapas siguen aproximadamente este orden:
- Comprobaciones en tiempo de conexión — Reputación de IP, listas negras, limitación de velocidad
- Comprobaciones de envolvente — Verificación del remitente, validación del destinatario
- Comprobaciones de autenticación — Evaluación de SPF, DKIM, DMARC
- Análisis de encabezados — Validación estructural, comprobaciones de coherencia
- Análisis de contenido — Escaneo de cuerpo, comprobación de URL, inspección de archivos adjuntos
- Puntuación de reputación — Reputación del remitente ponderada contra todas las señales
- Clasificación de aprendizaje automático — Modelos Bayesianos y de redes neuronales
- Señales posteriores a la entrega — Engagement, acciones del usuario, retroalimentación de denuncias
Los filtros de spam modernos en proveedores como Gmail y Outlook ejecutan la mayoría de estos en paralelo, produciendo una puntuación compuesta que determina la colocación en la bandeja de entrada. Pero entenderlos como un pipeline ayuda a explicar cómo cada capa contribuye.
Etapa 1: Comprobaciones en Tiempo de Conexión
Antes de que se transmita un solo byte de contenido de correo electrónico, el servidor receptor evalúa la dirección IP que se conecta.
-
Consultas de lista negra: El servidor verifica la IP contra listas negras basadas en DNS (DNSBL) como Spamhaus SBL/XBL, Barracuda BRBL y SpamCop. Una inclusión en Spamhaus puede causar un rechazo inmediato con una respuesta
550. - Caché de reputación de IP: Los proveedores grandes mantienen sus propias bases de datos de reputación interna. Una IP con historial de envío de spam en ese proveedor puede ser rechazada o limitada independientemente del estado de la lista negra externa.
- DNS inverso (FCrDNS): El servidor verifica si la IP que se conecta tiene un registro PTR válido y si ese registro PTR se resuelve nuevamente a la misma IP (DNS inverso confirmado hacia adelante). Los servidores sin rDNS válido a menudo se rechazan por completo.
-
Limitación de velocidad: Un volumen inusual desde una IP desencadena limitación. El servidor responde con
421(inténtelo más tarde) para ralentizar al remitente.
550 5.7.1 Servicio no disponible; cliente [198.51.100.42] bloqueado
utilizando zen.spamhaus.org
Las comprobaciones en tiempo de conexión son el filtro más rentable. Rechazar en conexión ahorra al servidor procesar todo el mensaje.
Etapa 2: Comprobaciones de Envolvente
Durante la fase de envolvente SMTP (MAIL FROM y RCPT TO), se ejecutan comprobaciones adicionales:
- Existencia del remitente: Algunos servidores realizan una verificación de devolución de llamada, conectándose al MX del remitente para verificar si la dirección MAIL FROM realmente existe. Esto atrapa direcciones de rebote falsificadas.
-
Validación del destinatario: Los destinatarios inexistentes se rechazan inmediatamente (
550 5.1.1 Usuario desconocido). Tasas altas de destinatarios inválidos de un único remitente desencadenan limitación o bloqueo. -
Greylisting: El servidor rechaza temporalmente (
450) el primer intento de entrega de una combinación desconocida de remitente/IP/destinatario. Los servidores legítimos reintentan después de algunos minutos; muchas herramientas de spam no lo hacen.
Etapa 3: Comprobaciones de Autenticación
Una vez que llega el contenido del mensaje, el servidor evalúa la autenticación de correo electrónico:
- SPF: ¿Coincide la IP de envío con el registro SPF publicado del dominio?
- DKIM: ¿Es válida la firma criptográfica? ¿Coincide el dominio de firma con el encabezado From:?
- DMARC: ¿Pasan SPF o DKIM con alineación al dominio From:? ¿Qué política publicó el dominio?
Los resultados de autenticación se registran en el encabezado Authentication-Results:
dkim=pass header.i=@example.com header.s=mtg;
spf=pass (google.com: 198.51.100.42 está permitido) smtp.mailfrom=example.com;
dmarc=pass (p=REJECT) header.from=example.com
La autenticación es un requisito previo, no una garantía. Pasar SPF, DKIM y DMARC no significa que su mensaje llegue a la bandeja de entrada. Los spammers también pueden configurar autenticación válida. Pero fallar en autenticación es una señal fuertemente negativa que casi con certeza enrutará su mensaje a spam o rechazo.
Etapa 4: Análisis de Encabezados
Los filtros de spam inspeccionan los encabezados de mensajes en busca de anomalías:
- Desajuste From:/Reply-To: Dominios diferentes en From: y Reply-To: pueden indicar phishing.
-
Encabezados faltantes o mal formados: Un encabezado
Date:oMessage-ID:faltante sugiere que el mensaje fue generado por software de spam crudo en lugar de un cliente de correo legítimo. - Análisis de cadena Received: La secuencia de encabezados Received: debe contar una historia coherente de cómo viajó el mensaje. Los encabezados Received: falsificados o marcas de tiempo imposibles son banderas rojas.
- Destinatarios excesivos: Un encabezado To: con cientos de direcciones, o un patrón de envío pesado en Bcc, es característico del correo no solicitado en masa.
- Inyección de encabezado: Saltos de línea o caracteres inusuales en valores de encabezado pueden indicar intentos de ataques de inyección de encabezado.
Etapa 5: Análisis de Contenido
El análisis de contenido examina el cuerpo del mensaje, estructura HTML y archivos adjuntos.
Análisis de texto y HTML
- Puntuación de palabras clave y frases: Ciertas frases ("actúe ahora," "tiempo limitado," "haga clic aquí") contribuyen a una puntuación de spam. Ninguna frase individual desencadena filtrado — es la acumulación de múltiples señales.
- Proporción HTML a texto: Un correo que es íntegramente imágenes con casi sin texto es sospechoso. También lo es un correo con una cantidad minúscula de texto visible y un gran bloque de texto oculto.
-
Texto oculto: Texto blanco sobre fondo blanco, fuentes de píxel cero, o contenido CSS
display:nonees una técnica clásica de spam que los filtros detectan específicamente. - Correos solo de imagen: Los mensajes que consisten únicamente en una imagen grande sin texto se utilizaban históricamente para evadir filtros basados en texto. Los filtros modernos marcan este patrón.
- Ofuscación: Usar sustitución de caracteres ("fr33," "v1agra"), homóglifos Unicode, o contenido codificado en Base64 para ocultar palabras clave de spam. Los filtros decodifican y normalizan el contenido antes del análisis.
Análisis de URL y enlaces
- Listas negras de URL: Los enlaces se verifican contra URIBL, SURBL, Google Safe Browsing y bases de datos específicas del proveedor. Un único enlace a un dominio conocido como malo puede causar que todo el mensaje se marque.
- Acortadores de URL: Las URL acortadas (bit.ly, tinyurl) se resuelven a su destino final y se verifican. El uso excesivo de acortadores de URL en sí es una señal negativa.
- Texto de enlace no coincidente: Una etiqueta de anclaje que dice "www.banco.com" pero enlaza a "evil.example.com" es una señal de phishing.
- Demasiados enlaces: Un correo con docenas de enlaces a dominios diferentes sugiere un mensaje de spam o marketing de afiliados.
- Dominios recién registrados: Los enlaces a dominios registrados en los últimos días son sospechosos.
Análisis de archivos adjuntos
-
Archivos ejecutables: Los archivos adjuntos ejecutables como
.exe,.scr,.batcasi siempre se bloquean o se ponen en cuarentena. -
Archivos comprimidos protegidos con contraseña: Los archivos
.zipcon contraseña impiden el escaneo y se tratan con sospecha. -
Documentos habilitados para macros: Los archivos
.docm,.xlsmson vectores de malware comunes. -
Desajuste de tipo de archivo: Un archivo con extensión
.pdfpero contenido ejecutable en sus encabezados binarios se marca.
Etapa 6: Puntuación de Reputación
Todas las señales anteriores se alimentan en un modelo de reputación. Aquí es donde la reputación de IP y dominio tiene su mayor impacto.
La reputación actúa como un multiplicador. Un remitente con excelente reputación obtiene el beneficio de la duda — el contenido borderline se entrega a la bandeja de entrada. Un remitente con mala reputación no obtiene beneficio de la duda — incluso el contenido limpio puede ser filtrado. Por eso la reputación a menudo es más importante que el contenido.
Los proveedores ponderan las señales de manera diferente:
- Gmail enfatiza fuertemente la reputación del dominio y el engagement del usuario. Google Postmaster Tools categoriza la reputación del dominio en cuatro niveles: Alto, Medio, Bajo y Malo.
- Outlook.com pondera mucho la reputación de IP y se basa en Datos de Reputación del Remitente (SRD) de un panel de usuarios votantes que califican los mensajes como no deseados o no.
- Yahoo utiliza una combinación de reputación de IP y dominio con peso significativo en tasas de denuncias de su programa de bucle de retroalimentación.
Etapa 7: Clasificación de Aprendizaje Automático
Los filtros de spam modernos utilizan modelos de aprendizaje automático entrenados en miles de millones de mensajes.
Filtrado Bayesiano
La técnica fundamental. Un filtro Bayesiano calcula la probabilidad de que un mensaje sea spam basado en la frecuencia de sus palabras (tokens) en corpus conocidos de spam versus ham. Si la palabra "factura" aparece en 80% del ham y 5% del spam, es una fuerte señal ham. Si "desuscribirse" aparece junto con "¡Felicidades! ¡Ganaste!" la probabilidad combinada se desplaza hacia spam.
Los filtros Bayesianos son adaptativos — aprenden de nuevos mensajes. Cuando un usuario marca un mensaje como spam, el filtro actualiza sus tablas de probabilidad. Este aprendizaje por usuario es por qué el mismo mensaje podría ser filtrado como spam para un usuario y entregado a la bandeja de entrada para otro.
Modelos de redes neuronales
Los proveedores principales ahora utilizan modelos de aprendizaje profundo que van mucho más allá de las frecuencias de palabras individuales. Estos modelos evalúan:
- Significado semántico del mensaje (no solo palabras clave)
- Patrones estructurales en HTML
- Patrones temporales (hora de envío, frecuencia, ráfagas)
- Relación entre remitente y destinatario (¿han intercambiado correo antes?)
- Similitud con campañas de spam conocidas (análisis de clúster)
Los filtros de spam de Google, por ejemplo, procesan más del 99,9% del spam antes de que llegue a ninguna bandeja de entrada, mientras mantienen una tasa de falsos positivos por debajo del 0,05%. Esto solo es posible con aprendizaje automático a gran escala.
Etapa 8: Señales Posteriores a la Entrega
El filtrado no se detiene cuando el mensaje llega a la bandeja de entrada. Las señales posteriores a la entrega refinan continuamente la colocación:
- Clics de "Denunciar Spam": La señal negativa más directa. Si muchos destinatarios denuncian mensajes de un remitente como spam, es más probable que los mensajes futuros de ese remitente sean filtrados para todos los destinatarios.
- "No es Spam" / rescate de basura: Mover un mensaje de spam a bandeja de entrada es una señal positiva que le dice al filtro que cometió un error.
- Comportamiento de lectura/apertura: Los mensajes que se abren y leen consistentemente señalan valor. Los mensajes que se eliminan sin leer señalan lo opuesto. Gmail lo utiliza mucho.
- Comportamiento de respuesta: Responder a un mensaje es una señal muy fuerte positiva — no responde al spam.
- Lista de contactos: Si el remitente está en la libreta de direcciones del destinatario, el mensaje casi siempre se entrega a la bandeja de entrada.
- Tiempo de permanencia: Cuánto tiempo pasa un destinatario leyendo un mensaje antes de seguir adelante.
El filtrado basado en engagement crea un bucle de retroalimentación: si sus primeros mensajes a un nuevo suscriptor no se abren, es más probable que los mensajes futuros se filtren. Por eso el consejo de calentamiento de IP siempre dice comenzar con sus destinatarios más comprometidos.
Cómo Difieren los Proveedores Principales
Gmail
El filtrado de Gmail es el más sofisticado y más impulsado por el engagement. Características clave:
- La reputación del dominio pesa más que la reputación de IP.
- Las señales de engagement (aperturas, respuestas, denuncias de spam) influyen fuertemente en la colocación en bandeja de entrada.
- Gmail categoriza algunos correos en pestañas (Principal, Promociones, Social, Actualizaciones) que es separado del filtrado de spam pero afecta la visibilidad.
- Desde febrero de 2024, Gmail requiere que los remitentes en masa (5.000+ mensajes/día a Gmail) se autentiquen con SPF, DKIM y DMARC, proporcionen desuscripción de un clic y mantengan tasas de denuncias de spam por debajo del 0,3%.
Outlook.com / Microsoft 365
- La reputación de IP está muy ponderada. Microsoft mantiene una gran base de datos de reputación de IP interna.
- El panel de Datos de Reputación del Remitente (SRD) — usuarios reales que votan sobre si los mensajes son deseados — se alimenta directamente en decisiones de filtrado.
- Exchange Online Protection (EOP) utiliza múltiples capas incluyendo filtrado de conexión, filtrado de política y filtrado de contenido.
- El filtro SmartScreen de Microsoft analiza características del mensaje contra un modelo entrenado en spam y phishing conocidos.
Yahoo / AOL
- Las tasas de denuncias del bucle de retroalimentación de Yahoo son una señal primaria.
- Yahoo fue un adoptante temprano de DMARC
p=reject, que lo aplica estrictamente. - Yahoo se unió a Gmail en requerir autenticación de remitente en masa y desuscripción de un clic en 2024.
Prueba de Filtro de Spam y Depuración
Cuando sus mensajes caen en spam, necesita un enfoque sistemático para diagnosticar la causa.
Lectura de encabezados de filtro
La mayoría de los filtros de spam agregan encabezados al mensaje que revelan su veredicto. Envíe un mensaje de prueba a usted mismo e inspeccione los encabezados sin formato:
X-Gm-Message-State: [datos de estado interno]
X-Google-DKIM-Signature: [firma propia de Google]
Authentication-Results: mx.google.com;
spf=pass ... dkim=pass ... dmarc=pass
# Microsoft añade:
X-Microsoft-Antispam: BCL:0;
X-MS-Exchange-Organization-SCL: 1
# SCL (Nivel de Confianza de Spam): -1=seguro, 0-4=entregado, 5-6=basura, 7-9=bloqueado
# SpamAssassin (código abierto, ampliamente utilizado) añade:
X-Spam-Status: No, puntuación=-1.2 requerida=5.0
pruebas=DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,SPF_PASS,
RCVD_IN_DNSWL_LOW autolearn=ham
Estos encabezados le dicen exactamente qué pruebas se aplicaron y cuáles fueron sus resultados. El encabezado Authentication-Results está estandarizado; los encabezados de puntuación de spam son específicos del filtro.
Prueba de semillas
Envíe mensajes de prueba a cuentas en múltiples proveedores (Gmail, Outlook, Yahoo, servidores corporativos) y verifique si caen en bandeja de entrada o spam. Haga esto antes de cada campaña importante o cambio de infraestructura. Varios servicios de terceros automatizan esto con paneles de direcciones de prueba en docenas de proveedores.
Aislamiento de la variable
Si un mensaje cae en spam, cambie una variable a la vez para identificar el desencadenante:
- Envíe el mismo contenido desde un dominio diferente — si se entrega, el problema es reputación, no contenido.
- Envíe contenido diferente desde el mismo dominio — si se entrega, el problema es específico del contenido.
- Envíe al mismo proveedor desde una IP diferente — si se entrega, el problema es reputación de IP o bloqueo.
- Elimine todos los enlaces y envíe de nuevo — si se entrega, uno de sus URL está en lista negra.
Qué Puede Salir Mal
Correo electrónico legítimo filtrado como spam
Sus correos transaccionales (restablecimientos de contraseña, confirmaciones de pedidos) caen en spam porque sus correos de marketing en el mismo dominio hundieron su reputación de dominio. La solución: considere separar correos transaccionales y de marketing en subdominios diferentes para que el daño de reputación del marketing no afecte la entrega transaccional crítica.
El contenido desencadena en contenido legítimo
Su correo de factura contiene la palabra "pago" más un archivo adjunto más un enlace — todo legítimo, pero la combinación obtiene una puntuación alta. La solución: asegure autenticación fuerte y reputación para que las señales de contenido se evalúen en el contexto de un remitente de confianza.
Espiral de muerte de engagement
Envía a una lista grande de suscriptores inactivos. Pocos abren su correo. La baja tasa de engagement hace que los proveedores muevan mensajes posteriores a spam. Incluso menos personas los ven. Las tasas de apertura caen más. Más mensajes van a spam. La solución: poda regularmente suscriptores inactivos y utiliza campañas de reenganche antes de que se desvinculen.
Bloqueo de URL
Un dominio enlazado en sus correos se pone en lista negra (tal vez su dominio de seguimiento, o un acortador de enlaces compartido). Cada correo que contiene ese enlace ahora se marca. La solución: utilice su propio dominio para enlaces de seguimiento, monitoree la reputación de enlaces y evite acortadores de URL compartidos en correo.
Conclusiones Clave
- El filtrado de spam es multicapa. Ninguna comprobación única determina la colocación en bandeja de entrada. Es el agregado de conexión, autenticación, contenido, reputación y señales de engagement.
- La autenticación es necesaria pero no suficiente. Pasar SPF/DKIM/DMARC no garantiza entrega en bandeja de entrada, pero fallar en ellos casi garantiza spam o rechazo.
- La reputación triunfa sobre el contenido. Un remitente de confianza con contenido borderline se entrega. Un remitente no confiable con contenido limpio se filtra.
- El engagement es la nueva frontera. Gmail especialmente utiliza aperturas, respuestas y denuncias de spam como señales primarias de filtrado. Enviar a personas que quieren su correo es la estrategia de entregabilidad más efectiva.
- Cada proveedor es diferente. Gmail es impulsado por engagement, Outlook es impulsado por IP, Yahoo es impulsado por denuncias. Optimice para cada uno.
- Separe sus flujos de correo. Use subdominios diferentes para correo transaccional y de marketing para aislar reputación.
- Monitoree y adapte. El filtrado de spam evoluciona constantemente. Lo que funcionó el año pasado puede no funcionar hoy. Utilice Herramientas de Postmaster y bucles de retroalimentación para mantenerse informado.