Email DFIR
Panduan lengkap untuk melakukan investigasi terhadap email crime — mulai dari penyitaan bukti sampai pemulihan email yang terhapus.
ABSTRACTInvestigasi email crime bukan sekadar membuka inbox. Ada urutan langkah yang harus diikuti supaya bukti yang dikumpulkan sah secara hukum (admissible) dan integritasnya terjaga. Reference note ini membahas seluruh alurnya secara terstruktur, plus teknik analisis header yang jadi inti deteksi spoofing/phishing.
Siapa yang cocok memakai referensi ini?
- SOC Analyst & DFIR Practitioner
- Incident Responder
- Digital Forensics Investigator
- CERT / CSIRT
Enam Langkah Investigasi Email Crime
Alur investigasi terdiri dari 6 langkah utama:
- Seizing — menyita komputer & email accounts.
- Acquiring — mengakuisisi data email.
- Examining — memeriksa isi pesan email.
- Retrieving — mengambil email headers.
- Analyzing — menganalisis email headers.
- Recovering — memulihkan email yang terhapus.
Memahami Bagian-bagian Email Message
Sebelum masuk ke investigasi, penting memahami dulu struktur sebuah email. Email message adalah pesan teks yang dikirim/diterima lewat jaringan, bisa disertai attachments (gambar, spreadsheet, dll) dan dikirim ke beberapa penerima sekaligus.
Formatnya diatur standar: RFC 5322 mendefinisikan format Internet email message, dan RFC 2045–2049 mendefinisikan attachment multimedia — keduanya disebut MIME (Multi-Purpose Internet Mail Extensions).
Sebuah email terdiri atas 5 bagian utama:
1. Message Header
Bagian yang memuat metadata pengirim, penerima, dan info teknis. Field-field pentingnya:
| Field | Fungsi |
|---|---|
| To | Kepada siapa pesan ditujukan. Catatan: "To" tidak selalu berisi alamat penerima sebenarnya. |
| Cc | Carbon copy — penerima tambahan di luar "To". Bedanya dengan "To" lebih bersifat konotatif. |
| Bcc | Blind carbon copy — salinan ke orang lain tanpa muncul di header. Populer di kalangan spammer karena membingungkan penerima. |
| From | Menentukan pengirim (sender) pesan. |
| Reply-To | Alamat tujuan balasan. Banyak kegunaan sah, tapi juga dipakai spammer untuk mengelak/mengumpulkan respons. |
| Message-ID | Identifier unik tiap email untuk keperluan tracking. |
| Sender | Jarang muncul (biasanya diganti "X-Sender"). Mengidentifikasi pengirim sebenarnya. |
| Subject | Field bebas (free-form) untuk mendeskripsikan subjek pesan. |
| Date | Tanggal pembuatan & pengiriman. Bisa ditambah server jika dihilangkan pengirim. |
| MIME-Version | Versi protokol MIME yang dipakai. |
| Priority | Prioritas email (free-form). Sering diabaikan software; kerap dipakai spammer agar pesan dibaca. |
| Received | Log setiap server yang dilalui email — kunci utama tracing. |
| Content-Type | Format email (plain text, HTML, dll). |
| Attachments | Referensi ke file yang dilampirkan pada email. |
2. Message Body
Pesan utama email — berisi teks, gambar, hyperlink, dan data lain. Attachments bisa muncul sejajar (in line) dengan teks. Standar Internet email tidak membatasi ukuran body, tapi tiap mail server punya message size limit sendiri.
3. Attachments
File yang dikirim bersama email (dokumen, gambar, audio, video, dll). Secara teknis bukan bagian dari body — file di-encode saat dikirim lalu di-decode saat diterima.
4. Signature
Informasi tambahan di akhir email berisi nama & detail kontak pengirim. Bisa berupa plain text atau gambar.
5. Headers for Security
Header SPF, DKIM, dan DMARC dipakai untuk mengautentikasi pengirim dan memastikan email tidak dimanipulasi (tampered) saat transit. Sangat kritikal untuk perlindungan terhadap spam & phishing.
Untuk melakukan on-site examination terhadap komputer & email server, investigator wajib memiliki search warrant dalam bahasa sesuai yurisdiksi. Warrant inilah yang memberi izin pemeriksaan.
Yang harus dilakukan
- Sita semua komputer & email account yang dicurigai terlibat dalam kejahatan.
- Untuk menguasai email account, ubah password-nya — bisa dengan meminta password ke korban, atau mengambil langsung dari mail server. Tujuannya agar suspect tidak bisa masuk dan menghapus/mengubah bukti.
Kasus korporat
Jika korbannya sebuah organisasi, investigator harus meminta izin ke pihak berwenang di sana dan bekerja sama dengan network & system administrator internal — agar memahami kebijakan mereka dan tidak melanggar aturan data safety perusahaan.
Setelah perangkat disita, langkah berikutnya adalah acquire (menyalin/mengambil) data email untuk dianalisis. Metode akuisisi tergantung cara suspect mengakses email:
- Desktop-based email client (Outlook, Thunderbird, Apple Mail) — bukti utamanya ada di local folders & archived files di mesin lokal.
- Web-based email — suspect akses via browser (webmail); metode akuisisinya berbeda.
Akuisisi email adalah tugas sensitif — harus seimbang antara kemampuan teknis, pemahaman hukum, dan etika. Untuk desktop client: lokasikan local folders, ekstrak pesan dengan forensic tool yang tepat, lalu simpan copy di lokasi aman.
Local Email Files — Microsoft Outlook
Saat email account di-sync ke Outlook desktop, dibuat copy lokal semua folder email dalam dua format:
PST — Personal Storage Table
- Umumnya dipakai akun POP3. Semua data (email, contact, calendar, task) di-download dari mail server & disimpan lokal.
- Di Outlook 2013 & sebelumnya, PST juga dipakai untuk IMAP. Namun sejak Outlook 2016, IMAP pindah ke format .ost.
OST — Offline Storage Table
- Dipakai akun Outlook.com, Office 365, Microsoft Exchange, dan IMAP.
- Fungsinya: menyalin semua komponen mailbox agar bisa diakses offline. Saat koneksi kembali, isinya di-sync ulang dengan server.
AutoArchive
Investigator juga bisa mengambil artifact dari archive — folder default Outlook untuk menyimpan email lama secara otomatis pada interval tertentu. File archive disimpan dalam format .pst. Cara mencari lokasinya (butuh credential suspect):
File → Options → Advanced → AutoArchive SettingsPerhatikan path pada "Move old items to:" yang menunjukkan lokasi archive.
Local Email Files — Mozilla Thunderbird
Saat user mengonfigurasi akun email di Thunderbird, dibuat folder Profiles di:
C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\ProfilesKonvensi penamaan profile: <8 random digits>.<profile_name>. Bisa ada banyak profile tergantung penggunaan.
Struktur subfolder penting
- ImapMail → menyimpan profil mail akun IMAP.
- Mail → menyimpan mail POP3 & local folders lainnya.
Format penyimpanan pesan
- Semua pesan disimpan sebagai file MBOX (tanpa ekstensi). Contoh: isi folder Inbox tersimpan di file bernama
INBOX. - File .msf dengan nama sama → menyimpan index mail (bukan isi pesan).
- .sbd folder → menyimpan index & pesan dalam format MBOX + MSF. Namanya mengikuti jenis akun, mis.
Gmail.sbd. Berisi pesan dari semua email folder satu akun (Important, Sent Mail, Trash, folder buatan user).
Local Folders
Jika user ingin offload email dari server (untuk hemat storage), pesan bisa dipindahkan ke Local Folder:
C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles\<Profile>\MailDi dalamnya ada dua folder default:
- Trash → sering dipakai sebagai folder "Archive" untuk menyimpan email lokal.
- Unsent Messages → menyimpan isi folder Outbox / pesan yang didraft tapi belum terkirim.
Untuk akun POP3, semua pesan baru otomatis di-download & disimpan ke local folders, lalu diambil dari server.
Archive folder (khusus IMAP)
User IMAP bisa membuat folder "Archive" untuk backup lokal email penting. Lokasi default (user bisa menyimpan di lokasi lain):
C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles\<profile>\Mail\Local FoldersCara cek lokasinya (pakai credential suspect):
Settings → Account Settings → Copies and Folders → Message ArchivesTool Akuisisi
SysTools MailPro+ — untuk Thunderbird & PST
Forensic tool yang bisa load data dari banyak file email sekaligus, preview multi-mode, analyze, & export ke berbagai format. Punya general & Wildcard search, bisa load file corrupt, dan recover deleted data. Mendukung Thunderbird, Outlook, Apple Mail, Exchange Server, dll.
Alur: Add Evidence → Select (pilih Mozilla Thunderbird / MBOX / Outlook) → pilih file/folder → retrieve pesan. Per email bisa dilihat: MESSAGE HEADER (kunci trace), HTML (body + link), ATTACHMENT (nama & isi lampiran), plus MIME/RTF/PROPERTIES. Pilih email yang punya evidentiary value → klik Export.
Kernel for OST to PST — konversi .ost → .pst
Convert OST ke PST/EML/MSG/Office 365/Exchange. Alur: Select File (pilih .ost) → tampil struktur mailbox → pilih Saving Path → pilih Saving Preferences → Finish.
Ringkasan tool per skenario
| Skenario | Tool | Output |
|---|---|---|
| Thunderbird local files | SysTools MailPro+ | Export multi-format, recover deleted |
Outlook .ost | Kernel for OST to PST | .pst (opsi include/exclude deleted) |
Outlook .pst | SysTools MailPro+ | Export + report CSV |
| Gmail webmail | Google Takeout / sync POP3-IMAP | mbox / copy lokal |
Akuisisi Web-based Email
Syarat mutlak: investigator harus punya credential suspect. Dua metode:
- Google Takeout — generate offline archive Gmail dalam format mbox.
- Sync ke email client (Outlook/Thunderbird) via POP3/IMAP untuk membuat copy lokal, lalu akuisisi dengan forensic tool.
Setelah email diakuisisi, investigator harus teliti memeriksa 4 area berikut — relevan langsung untuk deteksi phishing:
| Area | Yang diperiksa & red flag |
|---|---|
| Subject | Spoofed email dirancang menciptakan rasa panik/urgency supaya korban buru-buru membuka pesan. |
| Sender Email Address | Email mengatasnamakan bank tapi memakai akun Gmail alih-alih domain resmi → indikator kuat spoofing. |
| Email Body | Sering berisi direct link/hyperlink pemancing data sensitif; bahasa/kalimat berantakan, tidak profesional. |
| Email Attachment | Ekstensi berbahaya: .exe, .vbs, .js, .wsf, .zip — bisa mengeksekusi spyware/malware tersembunyi. |
Email header adalah komponen vital untuk trace origin email. Header memberi info sender & recipient lewat field "From" dan "To".
Konsep kunci: header juga menyimpan path yang dilalui email saat transit. Setiap MTA (Mail Transfer Agent) yang menerima email menambah/mengubah bagian header. Karena itu investigator memeriksa header untuk memperoleh data evidentiary dan trace perpetrator.
Header bisa di-retrieve dari email mana pun setelah akuisisi. Jika ada akses fisik ke sistem suspect, bisa dipakai email program yang sama. Prosedur retrieve header berbeda tiap program — berikut langkah lengkapnya per platform.
Microsoft Outlook (desktop)
- Launch Microsoft Outlook.
- Double-click email yang mau diambil headernya.
- Klik File (kiri atas) → ikon Properties.
- Di window Properties, ambil teks dari box Internet headers.
- Copy-paste ke text editor, lalu save.
Outlook.live.com (web)
- Login ke outlook.live.com.
- Klik email target.
- Klik ( ⋯ ) di kanan atas → View → View message source.
- Ambil teks dari box Message source, copy-paste ke editor, save.
AOL Mail
- Login AOL, right-click email target.
- Klik ⋯More dari top menu → View raw message.
- Ambil header text, copy-paste ke editor, save.
Apple Mail
- Launch Apple Mail, pilih email.
- View → Message → All Headers.
- Untuk kembali ke tampilan ringkas: View → Message → Default Headers.
- Copy-paste ke editor, save.
Gmail
- Login Gmail, pilih email.
- Klik More (⋮) di sebelah tombol Reply → Show original.
- Header lengkap terbuka di window baru → copy-paste, save.
Yahoo Mail
- Login Yahoo Mail, pilih email.
- Klik More (⋮) → View raw message.
- Copy-paste header text, save.
Ringkasan cepat (cheat sheet)
| Platform | Menu | Label |
|---|---|---|
| Outlook desktop | File → Properties | Internet headers |
| Outlook.live.com | ⋯ → View | View message source |
| AOL Mail | ⋯More | View raw message |
| Apple Mail | View → Message | All Headers |
| Gmail | ⋮ (More) | Show original |
| Yahoo Mail | ⋮ (More) | View raw message |
Header menyimpan metadata email. Ada 10 komponen yang dianalisis:
| # | Komponen | Keterangan |
|---|---|---|
| 1 | Timestamp | Tanggal & waktu email dikirim. |
| 2 | From | Sender's email ID di sisi recipient. Bisa dipalsukan (forged) — jangan langsung dipercaya. |
| 3 | To | Recipient's email ID. |
| 4 | Message ID | ID unik tiap email. Sebelum @ = timestamp; setelah @ = FQDN domain pengirim. |
| 5 | Subject | Subject apa adanya dari sender. |
| 6 | MIME | Memungkinkan email membawa media (audio, video, image). |
MIME Headers
| Header | Fungsi |
|---|---|
| MIME-Version | Tanda pesan MIME-formatted (default 1.0). |
| Content-Type | Text/plain, image/jpeg, video/mp4, Multipart/signature (ada signature), Multipart/mixed (teks + attachment). |
| Content-Disposition | Cara menampilkan pesan/body part. |
| Content-Transfer-Encoding | Encoding isi pesan. |
| Content-Description | Info tambahan opsional soal konten. |
Multipart/mixed = ada attachment → jadikan titik perhatian untuk analisis malware.
7. Received Headers ★ (jantung tracing)
Berisi detail semua mail server yang dilewati email saat transit; ditambahkan setiap kali email melewati SMTP server/MTA. Investigator mulai memeriksa dari sini karena mencerminkan info mail server pengirim.
8. Return-Path
Alamat tujuan bounce — kemana email dikembalikan jika gagal sampai. Red flag: jika Return-Path ≠ sender's email address (From), ini indikator spamming/spoofing.
9. Received-SPF (Sender Policy Framework)
SPF mencegah sender address forgery. Organisasi mendaftarkan server yang boleh mengirim atas nama domain via SPF record di DNS.
| Hasil SPF | Arti |
|---|---|
| None | Tidak ada SPF record untuk domain. |
| Neutral | IP tidak di-authorize maupun di-restrict (diperlakukan seperti None). |
| Pass ✓ | IP sender di-authorize. |
| Fail / Hard fail | Ditolak, IP tidak authorized. Ditandai -all. |
| Softfail | Kemungkinan tidak authorized. Ditandai ~all, biasanya ditandai spam/junk. |
# Hard fail - hanya IP ini yang boleh kirim, sisanya ditolak v=spf1 ip4:207.84.200.37 -all # Softfail - server tak terdaftar tetap dikirim, tapi ditandai spam/junk v=spf1 include:modprod.outlook.com ~all
10. DKIM Signature (DomainKeys Identified Mail)
Metode autentikasi yang melindungi dari phishing/spoofing/spamming pakai public key cryptography. Memverifikasi email dikirim dari mail server legitimate & isinya tidak diubah saat transit. Server penerima memvalidasi signature dengan public key di DNS; jika dua hash cocok → email authentic & unaltered.
| Field | Arti |
|---|---|
v=1 | Versi DKIM. |
a=rsa-sha256 | Algoritma hash (rsa-sha1 & rsa-sha256 = dua yang resmi). |
c=relaxed/relaxed | Canonicalization. Sebelum / untuk header, sesudahnya untuk body. |
d=gmail.com | Domain email sender. |
s=20161025pm | Selector untuk identifikasi public DKIM key. |
bh=... | Hash value body (Base64). |
b=... | DKIM signature berdasar field di h=. |
3 Pilar Deteksi Spoofing
| Pilar | Cek | Fail = red flag |
|---|---|---|
| SPF | IP sender authorized kirim atas nama domain? | fail/softfail → IP tak sah |
| DKIM | Signature valid & body tidak diubah? | fail → email dimodifikasi/palsu |
| DMARC | Policy gabungan SPF+DKIM (mis. p=QUARANTINE) | fail → tindakan sesuai policy |
X-Headers
Header nonstandard yang bisa dikustomisasi, umumnya disisipkan mailbox provider untuk spam filter & authentication results. Selalu diawali huruf "X". Bisa mengungkap info yang dieksploitasi untuk phishing (software version, internal IP).
| X-Header | Info yang diungkap |
|---|---|
| X-Originating-IP | IP asal mail/sender — sulit dipalsukan ✓ |
| X-Mailer | Email client yang dipakai — mudah di-spoof ⚠ |
| X-Apparently-To | Muncul saat email dikirim ke banyak recipient/mailing list. |
| X-Sieve | Nama & versi sistem filtering. |
| X-Delivered-To | Alamat mailbox tujuan pengiriman server. |
| X-Spam-Status / X-Spam-Score | Status/skor spam dari filtering software. |
| X-Virus-Scanned | Apakah & oleh AV apa email di-scan. |
Checking Email Authenticity
Untuk memverifikasi keaslian alamat email mencurigakan:
- Email Dossier (centralops.net) — cek validitas, tampilkan MX records, memulai SMTP session untuk cek address acceptance tanpa benar-benar mengirim email.
- Hunter's Email Verifier (hunter.io) — validasi email korporat, multilevel validation, cek keberadaan email di web publik.
- Tool lain: emailhippo.com, email-checker.net, zerobounce.net, verifalia.com, lead.clearout.io.
Examining Originating IP (WHOIS)
Identifikasi IP mail server asal untuk melacak attacker dengan WHOIS Lookup (whois.domaintools.com):
- Buka email → temukan header.
- Ambil sender IP dari Received header.
- Masukkan IP ke WHOIS Lookup search box.
- Cari alamat geografis sender + contact abuse untuk pelaporan resmi.
Tracing Email Origin
Setelah verifikasi header, investigator dapat mengajukan court order (via law enforcement) untuk memperoleh log files server → menentukan sender → tindakan hukum.
Registry sites untuk menentukan email origin
| Registry | Wilayah |
|---|---|
| ARIN (arin.net) | Amerika Utara — domain name dari IP + point of contact. |
| AFRINIC (afrinic.net) | Afrika |
| APNIC (apnic.net) | Asia Pasifik |
| RIPE (ripe.net) | Eropa |
| LACNIC (lacnic.net) | Amerika Latin & Karibia |
Tracing back web-based email
Webmail (Gmail, Outlook, ProtonMail) lebih sulit ditrace karena bisa diakses dari mana pun & tidak butuh info autentik saat registrasi. Namun provider menyimpan IP setiap mesin yang mengakses layanan — setelah autentikasi IP, investigator kontak provider untuk info sender.
Tools: IP2LOCATION Email Header Tracer (ip2location.com), Social Catfish, EmailSherlock, Google Admin Toolbox, Email Header Analyzer (dnschecker.org), MxToolbox.
Alur investigasi origin
Header → ambil sender IP (Received / X-Originating-IP)
→ WHOIS Lookup (domaintools) → Organization + abuse contact
→ Regional registry (ARIN/APNIC/RIPE/dll) → point of contact
→ [jika perlu legal] Court order → server logs → identitas sender
Konsep inti: "deleted" ≠ hilang permanen — biasanya cuma pindah folder atau masuk unallocated space.
Outlook PST
- Email dihapus → pindah ke Deleted Items, bertahan 14 hari (default, bisa diubah) → auto-delete.
- Setelah itu → invisible bagi user, tapi tidak benar-benar terhapus — pindah ke unallocated space.
- Bisa di-recover selama belum overwritten. Tools: Autopsy, Paraben's E3.
Thunderbird
- Email dihapus disimpan di folder Trash sampai di-clear.
- Autopsy & Paraben's E3 bisa recover — tergantung seberapa cepat dilakukan. Jika Local Trash ikut dihapus, complete recovery masih mungkin.
Gmail
Email dihapus → pindah ke Trash (bukan langsung hilang) sampai di-clear. Recovery: Trash → pilih email → ikon Move → pilih lokasi tujuan.
Outlook — dua kategori penghapusan
| Kategori | Trigger | Efek |
|---|---|---|
| Soft deletion | Delete biasa (Inbox/Drafts/Sent) | Pindah ke Deleted Items. |
| Hard deletion | Shift+Delete | Dihapus permanen dari mailbox. |
Recovery Outlook: HOME → Recover Deleted Items From Server → pilih email → Restore Selected Items → OK.
Email Recovery Tools
- EaseUS Email Recovery Wizard — recover email hilang + repair PST corrupt, bisa preview sebelum recovery.
- Stellar Undelete Email, SysTools Outlook Recovery, Kernel for Outlook PST Repair, Recover My Email, Recovery Toolbox for Outlook.
CAN-SPAM = Controlling the Assault of Non-Solicited Pornography and Marketing Act. UU AS yang mengatur pengiriman email komersial, memberi recipient hak opt-out, dan menjabarkan penalti.
Syarat utama untuk sender
- Tidak menggunakan header information palsu/menyesatkan.
- Tidak menggunakan subject line yang menipu.
- Email komersial harus diidentifikasi sebagai iklan (ad).
- Mencantumkan alamat fisik pos yang valid.
- Memuat info cara berhenti berlangganan (opt-out).
- Menghormati opt-out dalam 10 hari kerja.
- Baik pemilik produk maupun emailer yang dikontrak, keduanya wajib patuh.
Penalties
Denda hingga $50,120 per email. Pelanggaran tertentu dapat dikenai denda tambahan + pidana & penjara, antara lain:
- Mengakses komputer orang lain untuk kirim spam tanpa izin.
- Menggunakan info palsu untuk register banyak akun email/domain.
- Relaying spam massal untuk menyesatkan asal pesan.
- Harvesting alamat email / dictionary attack.
- Memanfaatkan open relay / open proxy tanpa izin.
