Ένα κρίσιμο βήμα στην εγκληματολογική ανάλυση του ηλεκτρονικού ταχυδρομείου είναι η εξέταση της επικεφαλίδας του ηλεκτρονικού ταχυδρομείου. Περιέχει πληροφορίες σχετικά με το μήνυμα που δεν εμφανίζονται άμεσα στο σώμα, όπως τα στοιχεία του αποστολέα και του παραλήπτη, τη χρονοσφραγίδα και τη διαδρομή που ακολούθησε το μήνυμα πριν φτάσει στον τελικό προορισμό του.

Στο Gmail, Outlook, Yahoo και σε παρόμοιες διεπαφές webmail, οι επικεφαλίδες μπορούν να προβληθούν επιλέγοντας "Εμφάνιση πρωτοτύπου", "Προβολή πηγής μηνύματος" ή μια παρόμοια επιλογή. Αυτό συνήθως ανοίγει μια νέα καρτέλα που εμφανίζει την επικεφαλίδα και το κείμενο του μηνύματος ηλεκτρονικού ταχυδρομείου.

Αν και δεν υπάρχουν όλες οι επικεφαλίδες σε κάθε μήνυμα ηλεκτρονικού ταχυδρομείου, τα τυπικά δεδομένα που βρίσκονται στην επικεφαλίδα του μηνύματος ηλεκτρονικού ταχυδρομείου περιλαμβάνουν:

• Από: Υποδεικνύει το όνομα και τη διεύθυνση του αποστολέα. Σε ορισμένες περιπτώσεις, η διεύθυνση μπορεί να είναι ψευδής ή τροποποιημένη για να αποκρύψει την ταυτότητα του αποστολέα, καθιστώντας αυτό το πεδίο υποχρεωτικό για ανάλυση.
• Προς: Καθορίζει το όνομα και τη διεύθυνση του παραλήπτη, ζωτικής σημασίας για την εγκληματολογική ανάλυση, ώστε να υποδεικνύεται ποιος είναι ο προοριζόμενος παραλήπτης.
• CC και BCC: Αυτά τα πεδία απαριθμούν άλλους που έλαβαν αντίγραφα του μηνύματος. Το CC (Carbon Copy) αναφέρεται στο δημόσιο πεδίο, ενώ το BCC (Blind Carbon Copy) είναι ένα κρυφό πεδίο που δεν είναι ορατό σε άλλους παραλήπτες (και επομένως μια επικεφαλίδα BCC υπάρχει μόνο στο αντίγραφο που έλαβε ο συγκεκριμένος παραλήπτης).
• Ημερομηνία και ώρα: Περιέχει τη στιγμή της αποστολής του μηνύματος, πολύτιμο σε περιπτώσεις όπου οι χρονοσφραγίδες χρησιμεύουν ως αποδεικτικά στοιχεία σε μια έρευνα.
• X-Mailer: Αποκαλύπτει τα προγράμματα ή τις πλατφόρμες που χρησιμοποιήθηκαν για την αποστολή του μηνύματος και μπορεί να παράσχει πληροφορίες σχετικά με τον τύπο της συσκευής που χρησιμοποιήθηκε για την αποστολή.
• Ελήφθη: Παραθέτει όλους τους διακομιστές από τους οποίους πέρασε το μήνυμα κατά τη διαδρομή του από τον αποστολέα στον παραλήπτη. Οι πληροφορίες αυτές μπορεί να είναι σημαντικές για την εγκληματολογική ανάλυση, βοηθώντας στην ταυτοποίηση των τοποθεσιών αποστολέα και παραλήπτη, καθώς και στην ταυτοποίηση των διακομιστών που εμπλέκονται στην αποστολή ή τη λήψη του μηνύματος - ένα πεδίο που είναι υποχρεωτικό για την ανάλυση.
• Κεφαλίδα DKIM-Signature: Το DomainKeys Identified Mail (DKIM) είναι ένα σημαντικό πρότυπο ασφαλείας που χρησιμοποιεί ασύμμετρη κρυπτογράφηση για να διασφαλίσει τη νομιμότητα του ηλεκτρονικού ταχυδρομείου. Χρησιμοποιεί δύο σύνολα κλειδιών: ένα δημόσιο κλειδί προσβάσιμο σε οποιονδήποτε λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου και ένα ιδιωτικό κλειδί στον διακομιστή ηλεκτρονικού ταχυδρομείου του αποστολέα. Το ιδιωτικό κλειδί χρησιμοποιείται για την κρυπτογράφηση και το δημόσιο κλειδί για την αποκρυπτογράφηση.
• Message-ID: Αυτό το πεδίο περιέχει ένα μοναδικό αναγνωριστικό για το μήνυμα, χρήσιμο για την ταυτοποίηση του μηνύματος σε οποιοδήποτε στάδιο της έρευνας.