E-postanın adli analizinde önemli bir adım, e-posta başlığının incelenmesidir. Gönderen ve alıcı bilgileri, zaman damgası ve mesajın son hedefine ulaşmadan önce izlediği yol gibi mesaj hakkında doğrudan gövdede görüntülenmeyen bilgiler içerir.

Gmail, Outlook, Yahoo ve benzeri web posta arayüzlerinde, başlıklar "Orijinali göster", "Mesaj kaynağını görüntüle" veya benzer bir seçenek seçilerek görüntülenebilir. Bu genellikle e-posta başlığını ve metnini görüntüleyen yeni bir sekme açar.

Tüm başlıklar her e-postada bulunmasa da, e-posta başlığında bulunan tipik veriler şunlardır:

• Kimden: Gönderenin adını ve adresini belirtir. Bazı durumlarda adres, gönderenin kimliğini gizlemek için yanlış veya değiştirilmiş olabilir, bu da bu alanı analiz için zorunlu hale getirir.
• Kime: Alıcının adını ve adresini belirtir, adli analiz için hedeflenen alıcının kim olduğunu göstermek açısından çok önemlidir.
• CC ve BCC: Bu alanlar mesajın kopyasını alan diğer kişileri listeler. CC (Karbon Kopya) genel alan anlamına gelirken, BCC (Kör Karbon Kopya) diğer alıcılar tarafından görülemeyen gizli bir alandır (ve bu nedenle bir BCC başlığı yalnızca o alıcı tarafından alınan kopyada bulunur).
• Tarih ve Saat: Mesajın gönderildiği anı içerir, zaman damgalarının bir soruşturmada kanıt olarak kullanıldığı durumlarda değerlidir.
• X-Mailer: Mesajı göndermek için kullanılan programları veya platformları gösterir ve gönderme için kullanılan cihazın türü hakkında bilgi sağlayabilir.
• Alındı: Mesajın göndericiden alıcıya giderken geçtiği tüm sunucuları listeler. Bu bilgi adli analiz için önemli olabilir, gönderenin ve alıcının konumlarının belirlenmesine yardımcı olur ve mesajın gönderilmesinde veya alınmasında yer alan sunucuları tanımlar - analiz için zorunlu bir alan.
• DKIM-İmza başlığı: DomainKeys Identified Mail (DKIM), e-postanın meşruiyetini sağlamak için asimetrik şifreleme kullanan önemli bir güvenlik standardıdır. İki anahtar kümesi kullanır: e-postayı alan herkesin erişebileceği bir genel anahtar ve gönderenin posta sunucusunda bulunan bir özel anahtar. Özel anahtar şifreleme için, genel anahtar ise şifre çözme için kullanılır.
• Message-ID: Bu alan, mesaj için benzersiz bir tanımlayıcı içerir ve bir soruşturmanın herhangi bir aşamasında mesajın tanımlanmasında yararlıdır.