Një hap kritik në analizën forenzike të emailit është shqyrtimi i kokës së emailit. Ajo përmban informacione rreth mesazhit që nuk shfaqen drejtpërdrejt në trupin e emailit, si detajet e dërguesit dhe të pranuesit, kohëzgjatjen, dhe rrugën që mesazhi ka ndjekur para se të arrinte në destinacionin final.

Në Gmail, Outlook, Yahoo dhe ndërfaqet e ngjashme të postës elektronike në ueb, kokat mund të shikohen duke zgjedhur "Shfaq origjinën", "Shiko burimin e mesazhit" ose një opsion të ngjashëm. Kjo zakonisht hap një dritare të re që shfaq kokën e emailit dhe tekstin.

Edhe pse të gjitha kokat nuk janë të pranishme në çdo email, të dhënat tipike të gjetura në kokën e emailit përfshijnë:

• From: Tregon emrin dhe adresën e dërguesit. Në disa raste, adresa mund të jetë e rreme ose e ndryshuar për të fshehur identitetin e dërguesit, duke bërë këtë fushë të detyrueshme për analizë.
• To: Specifikon emrin dhe adresën e pranuesit, të rëndësishëm për analizën forenzike për të treguar kush është pranuesi i synuar.
• CC dhe BCC: Këto fusha radhitin të tjerët që marrën kopje të mesazhit. CC (Kopje Karboni) lidhet me fushën publike, ndërsa BCC (Kopje Karboni e Verbër) është një fushë e fshehur e padukshme për pranuesit e tjerë (dhe prandaj një kokë BCC është e pranishme vetëm në kopjen që pranuesi i cili e ka marrë atë).
• Data dhe Koha: Përmban momentin që mesazhi është dërguar, e çmuar në raste kur kohëzgjatjet shërbejnë si dëshmi në një hetim.
• X-Mailer: Zbulon programet ose platformat që janë përdorur për të dërguar mesazhin dhe mund të japë informacion rreth llojit të pajisjes që është përdorur për dërgim.
• Received: Lista të gjitha serverët që mesazhi ka kaluar në rrugën e tij nga dërguesi tek pranuesi. Kjo informacion mund të jetë i rëndësishëm për analizën forenzike, ndihmëse në identifikimin e vendeve të dërguesit dhe pranuesit, si dhe identifikimin e serverëve të përfshirë në dërgimin ose marrjen e mesazhit - një fushë që është e detyrueshme për analizë.
• Koka e DKIM-Signature: DomainKeys Identified Mail (DKIM) është një standard sigurie i rëndësishëm që përdor enkriptim asimetrik për të siguruar legjitimitetin e emailit. Ai përdor dy sete çelësash: një çelës publik i aksesueshëm për këdo që merr një email dhe një çelës privat në serverin e postës elektronike të dërguesit. Çelësi privat përdoret për enkriptim dhe çelësi publik për dekriptim.
• Mesazhi-ID: Kjo fushë përmban një identifikues unik për mesazhin, e dobishme për identifikimin e mesazhit në çdo fazë të një hetimi.