Клучен чекор во форензичката анализа на е-поштата е испитувањето на нејзиното заглавие. Тоа содржи информации за пораката, кои не се директно прикажани во нејзиниот текст, како што се: детали за испраќачот и примачот, временскиот печат (timestamp) и рутата по која поминала пораката пред да стигне до своето крајно одредиште.

Кај Gmail, Outlook, Yahoo и кај други слични интерфејси за веб-пошта, заглавјата може да се видат со избирање на опцијата „Прикажи оригинал“ (Show original), „Прикажи извор на порака“ (View message source) или слична опција. Ова обично отвора нов таб што ги прикажува заглавјето и текстот на е-поштата.

И покрај тоа што не секоја е-пошта ги содржи сите заглавија, во заглавието на е-поштата најчесто можат да се најдат:

• Од (From): Го означува името и адресата на испраќачот. Во некои случаи, адресата може да биде лажна или изменета за да се скрие идентитетот на испраќачот, што го прави ова поле задолжително за анализа.
• До (To): Го одредува името и адресата на примател, што е од клучно значење за форензичката анализа да покаже кој е наменетиот примател.
• CC и BCC: Во овие полиња се наведени останатите кои примиле копии од пораката. CC (Carbon Copy) се однесува на полето кое јавно видливо, додека BCC (Blind Carbon Copy) е скриено поле кое не е видливо за другите приматели (и затоа заглавието на BCC го има само во копијата што ја примил тој примател).
• Датум и време: Го содржи временскиот момент кога е испратена пораката и што претставува вредна информација во случаи кога временските печати служат како доказ во истрага.
• X-Mailer: Ги открива програмите или платформите што се користат за испраќање на пораката и може да даде информации за типот на уредот што се користи за испраќање.
• Примени (Received): Ги посочува сите сервери преку кои е пренесена пораката додека патувала од испраќачот до примателот. Оваа информација може да биде значајна за форензичка анализа, помага во идентификацијата на локациите на испраќачот и примателот, како и за идентификување на серверите кои се вклучени во испраќањето или примањето на пораката – станува збор за поле кое е задолжително за анализа.
• DKIM-Signature header: DomainKeys Identified Mail (DKIM) е значаен безбедносен стандард што користи асиметрична шифрирање за да се обезбеди легитимност на е-поштата. Тој користи две групи на клучеви: јавен клуч кој е достапен за секој што прима е-пошта и приватен клуч на серверот за пошта на страната на испраќачот. Приватниот клуч се користи за шифрирање, а јавниот клуч за дешифрирање.
• Message-ID: Ова поле содржи единствен идентификатор за пораката кој е корисен за идентификација на пораката во која било фаза од истрагата.