Ključen korak pri forenzični analizi e-pošte je pregled glave sporočila. Ta vsebuje informacije o sporočilu, ki niso neposredno prikazane v telesu, kot so podrobnosti o pošiljatelju in prejemniku, časovni žig in pot, ki jo je sporočilo prehodilo, preden je doseglo končni cilj.

V spletnih odjemalcih za e-pošto, kot so Gmail, Outlook, Yahoo in podobnih, lahko glave ogledate tako, da izberete “Prikaži izvirno”, “Prikaži vir sporočila” ali podobno možnost. To običajno odpre nov zavihek, ki prikazuje glavo e-sporočila in njegovo besedilo.

Čeprav vseh podatkov v glavi sporočila ni prisotnih v vsakem e-poštnem sporočilu, so tipični podatki, ki jih najdemo v glavi e-pošte, naslednji:

• Od: Navaja ime in naslov pošiljatelja. V nekaterih primerih je lahko naslov lažen ali spremenjen, da bi se skrila identiteta pošiljatelja, kar to polje naredi obvezno za analizo.
• Za: Določa ime in naslov prejemnika, kar je ključno za forenzično analizo, da pokaže, kdo je bil predvideni prejemnik.
• CC in BCC: Ta polja navajajo druge, ki so prejeli kopije sporočila. CC (Carbon Copy) se nanaša na javno polje, medtem ko je BCC (Blind Carbon Copy) skrito polje, ki ga drugi prejemniki ne vidijo (in zato je glava BCC prisotna samo v kopiji, ki jo je prejel ta prejemnik).
• Datum in čas: Vsebuje trenutek, ko je bilo sporočilo poslano, kar je dragoceno v primerih, ko časovni žigi služijo kot dokaz v preiskavi.
• X-Mailer: Razkriva programe ali platforme, ki so se uporabljale za pošiljanje sporočila, in lahko zagotovi informacije o vrsti naprave, ki se je uporabljala za pošiljanje.
• Prejeto: Navaja vse strežnike, skozi katere je sporočilo prešlo na svoji poti od pošiljatelja do prejemnika. Te informacije so lahko pomembne za forenzično analizo, saj pomagajo pri identifikaciji lokacij pošiljatelja in prejemnika ter pri prepoznavanju strežnikov, ki so sodelovali pri pošiljanju ali prejemanju sporočila - polje, ki je obvezno za analizo.
• Glava DKIM-Signature: DomainKeys Identified Mail (DKIM) je pomemben varnostni standard, ki uporablja asimetrično šifriranje za zagotavljanje legitimnosti e-pošte. Uporablja dva niza ključev: javni ključ, dostopen vsem, ki prejemajo e-pošto, in zasebni ključ na pošiljateljevem poštnem strežniku. Zasebni ključ se uporablja za šifriranje, javni ključ pa za dešifriranje.
• Message-ID: To polje vsebuje edinstven identifikator za sporočilo, ki je koristen za prepoznavanje sporočila na kateri koli stopnji preiskave.