E-posta analizlerinde en önemli konu gönderilen/alınan e-postaya ait başlık bilgilerinin analiz edilmesidir. SMTP başlık bilgisinde bulunan Received-by satırı maili kimin gönderdiği konusunda yeterli detay vermektedir. Bazı e-posta hizmet sağlayıcıları kullanıcıların ip adresini saklamak için değişik yöntemler kullanır, mesela Gmail üzerinden gönderilen e-postaları geriye doğru SMTP başlık bilgilerinden takip etmek mümkün gözükmemektedir.
Benzeri şekilde eğer kişi e-postayı Outlook, Thunderbird gibi e-posta istemcisi kullanarak değil de webmail üzerinden gönderdiyse yine Received-By satırları yeteri kadar bilgi vermeyebilir. Bu gibi durumlarda webmailin eklediği X-Originating-Ip başlık bilgisi incelebilir.
Örnek verilecek olursa Hotmail web arabirimi kullanılarak gönderilen e-postalara browser üzerinden maili gönderene ait ip adresi bilgisini “X-Originating-IP” başlık satırı kullanarak eklemektedir. Çoğu adli bilişim analiz çalışmasında bu başlık bilgilerine güvenilerek işlem yapıldığı olmuştur.
Oysa X- ile başlayan başlık bilgileri ara sistemler tarafından eklenen ve kolaylıkla değiştirilen bilgilerdir.
Örnek bir Hotmail kullanıcısına ait e-posta başlık bilgisi:
—-
X-Originating-IP ‘de Gözüken IP Adresini Değiştirme
Benzeri şekilde araya girme işlemi yapmadan doğrudan SMTP bağlantısı kurularak da aynı sahte başlık bilgisi eklenebilir.
Hotmail bu başlık bilgisini kabul ederek gönderilen kişi tarafında yapılacak analizlerde sahte başlık değerlerini eklemektedir.
