Pueden aparecer 1, 2 o más IP's en un e-mail, puesto que puede que tu e-mail pase un de servidores  de correo a otro según esté configurado, incluso pueden ser ip's privadas. Es por donde ha pasado tu e-mail antes de llegar a su destino, los "saltos" que da.

ESMTP no es más que el protocolo mejorado del original SMTP, que es usado hoy en día para enviar e-mails. Enhanced Simple Mail Transfer Protocol son las siglas en inglés. Y ESMTPS pues se debe referir la S final a SSL (Cifrado).

En el ejemplo de dominio1 y domnio2, quizás tengas una redirección hecha y los correos mandados a dominio1 se mandan automáticamente a domnio2, y por eso aparecen dos ip's diferentes.

En un ejemplo de un e-mail que te manda el foro:

Pues aparece el "Received: from " quién lo manda y el "by" quién lo recibe


En este caso hay una redirección de  correo de un dominio a otro y por eso aparecen incluso más ip's de las normales.

Aparecen varias direcciones ipv6 de servidores de Google




91.126.217.153 es la ip del servidor de correo del foro, pero quién realmente mandó el correo fue el servidor del foro cuya IP está oculta por seguridad y sólo pone "by ehn" y la versión de sendmail.

Pues el tema es que usamos CloudFlare que esconde la IP real de servidor. Estamos detrás  de su CDN y para evitar ataques DDoS, pues CloudFlare hace de pantalla y revisa (WAF) todas las peticiones que recibimos antes que lleguen a la IP real del servidor.

Entonces una manera muy fácil de adivinar la IP real del foro es mirar las cabeceras de un e-mail de ese dominio, para saber la IP real de un servidor que se esconde detrás de CloudFlare. La IP del servidor de correo suele ser la misma que el servidor web.


Si, los dos servidores de correo pertenecen al foro, pero el real (oculto) del foro (1 ehn) lo único que hace es redireccionar automáticamente los correos al otro servidor de correo público del foro (2). Básicamente son iguales, pero uno está oculto y redirecciona y el otro es visible y lo envía a su destino.

IP1 ehn (Oculta) Servidor correo del foro (Redirección) a --> IP2 Pública (Servidor de correo) --> Destino


Si, es un servidor de envío, pero en las cabeceras, pues Gmail o recibió, por eso pone "Received: "

En nuestro caso el servidor de correo del foro sólo manda e-mails, no los recibe. Los registros DNS tipo MX dicen quién "recibe", gestiona el correo, en nuestro caso Google (Gmail).

Pero si usamos el webmail (mail.elhacker.net) entonces los manda también Gmail. Por eso se crearon los registros SPF, para poder decir a todo el mundo si hay permiso para que más de una IP o servidor esté autorizado a mandar e-mails en nombre de elhacker.net.

Con tu servidor de correo podrías mandar un e-mail "De banderas20@elhacker.net" pero no llegaría a su destino (SPF Fail o llegaría a SPAM, correo no deseado, suplantació de identidad), y no porque el buzón banderas20@elhacker.net no exista, sino porque tu IP no está autorizada a mandar e-mails con *@elhacker.net

Normalmente suele ser el mismo servidor que recibe y manda e-mails e-mails, pero a veces, se usan recursos externos, por ejemplo, listas de correo gestionadas por otra empresa para hacer mailing y tienes que autorizarlos también para que puedan mandar e-mails usando tu dominio.

Analizar cabeceras (Headers) de un e-mail

Investigar problemas de correo Messageheader analiza los encabezados de los mensajes SMTP, lo que ayuda a identificar el motivo que origina los retrasos en la entrega. Puedes detectar servidores con una configuración incorrecta y problemas de enrutamiento del correo.

¿Qué información puede proporcionarme esta herramienta sobre las cabeceras de correos electrónicos? Identifica retrasos de entrega. Identifica el origen aproximado del retraso. Identifica al posible usuario responsable.

https://toolbox.googleapps.com/apps/messageheader/