Email DFIR

Email DFIR

Panduan lengkap untuk melakukan investigasi terhadap email crime — mulai dari penyitaan bukti sampai pemulihan email yang terhapus.

ABSTRACT

Investigasi email crime bukan sekadar membuka inbox. Ada urutan langkah yang harus diikuti supaya bukti yang dikumpulkan sah secara hukum (admissible) dan integritasnya terjaga. Reference note ini membahas seluruh alurnya secara terstruktur, plus teknik analisis header yang jadi inti deteksi spoofing/phishing.

Siapa yang cocok memakai referensi ini?

  • SOC Analyst & DFIR Practitioner
  • Incident Responder
  • Digital Forensics Investigator
  • CERT / CSIRT
Ingat: Sebelum menyentuh perangkat apa pun, pastikan dasar hukum (search warrant / otorisasi) sudah ada. Bukti yang diperoleh tanpa dasar sah bisa gugur di pengadilan.

Enam Langkah Investigasi Email Crime

Alur investigasi terdiri dari 6 langkah utama:

  • Seizing — menyita komputer & email accounts.
  • Acquiring — mengakuisisi data email.
  • Examining — memeriksa isi pesan email.
  • Retrieving — mengambil email headers.
  • Analyzing — menganalisis email headers.
  • Recovering — memulihkan email yang terhapus.

Memahami Bagian-bagian Email Message

Sebelum masuk ke investigasi, penting memahami dulu struktur sebuah email. Email message adalah pesan teks yang dikirim/diterima lewat jaringan, bisa disertai attachments (gambar, spreadsheet, dll) dan dikirim ke beberapa penerima sekaligus.

Formatnya diatur standar: RFC 5322 mendefinisikan format Internet email message, dan RFC 2045–2049 mendefinisikan attachment multimedia — keduanya disebut MIME (Multi-Purpose Internet Mail Extensions).

Sebuah email terdiri atas 5 bagian utama:

1. Message Header

Bagian yang memuat metadata pengirim, penerima, dan info teknis. Field-field pentingnya:

FieldFungsi
ToKepada siapa pesan ditujukan. Catatan: "To" tidak selalu berisi alamat penerima sebenarnya.
CcCarbon copy — penerima tambahan di luar "To". Bedanya dengan "To" lebih bersifat konotatif.
BccBlind carbon copy — salinan ke orang lain tanpa muncul di header. Populer di kalangan spammer karena membingungkan penerima.
FromMenentukan pengirim (sender) pesan.
Reply-ToAlamat tujuan balasan. Banyak kegunaan sah, tapi juga dipakai spammer untuk mengelak/mengumpulkan respons.
Message-IDIdentifier unik tiap email untuk keperluan tracking.
SenderJarang muncul (biasanya diganti "X-Sender"). Mengidentifikasi pengirim sebenarnya.
SubjectField bebas (free-form) untuk mendeskripsikan subjek pesan.
DateTanggal pembuatan & pengiriman. Bisa ditambah server jika dihilangkan pengirim.
MIME-VersionVersi protokol MIME yang dipakai.
PriorityPrioritas email (free-form). Sering diabaikan software; kerap dipakai spammer agar pesan dibaca.
ReceivedLog setiap server yang dilalui email — kunci utama tracing.
Content-TypeFormat email (plain text, HTML, dll).
AttachmentsReferensi ke file yang dilampirkan pada email.
Sebuah baris kosong (blank line) memisahkan header dan body. Di email, body selalu ditempatkan setelah baris-baris header.

2. Message Body

Pesan utama email — berisi teks, gambar, hyperlink, dan data lain. Attachments bisa muncul sejajar (in line) dengan teks. Standar Internet email tidak membatasi ukuran body, tapi tiap mail server punya message size limit sendiri.

3. Attachments

File yang dikirim bersama email (dokumen, gambar, audio, video, dll). Secara teknis bukan bagian dari body — file di-encode saat dikirim lalu di-decode saat diterima.

4. Signature

Informasi tambahan di akhir email berisi nama & detail kontak pengirim. Bisa berupa plain text atau gambar.

5. Headers for Security

Header SPF, DKIM, dan DMARC dipakai untuk mengautentikasi pengirim dan memastikan email tidak dimanipulasi (tampered) saat transit. Sangat kritikal untuk perlindungan terhadap spam & phishing.

Tiga header keamanan ini (SPF/DKIM/DMARC) adalah fondasi analisis di Step 5 nanti — di situlah pemeriksaan detailnya dilakukan untuk mendeteksi spoofing.
1 Seizing the Computer & Email Accounts

Untuk melakukan on-site examination terhadap komputer & email server, investigator wajib memiliki search warrant dalam bahasa sesuai yurisdiksi. Warrant inilah yang memberi izin pemeriksaan.

Yang harus dilakukan

  • Sita semua komputer & email account yang dicurigai terlibat dalam kejahatan.
  • Untuk menguasai email account, ubah password-nya — bisa dengan meminta password ke korban, atau mengambil langsung dari mail server. Tujuannya agar suspect tidak bisa masuk dan menghapus/mengubah bukti.

Kasus korporat

Jika korbannya sebuah organisasi, investigator harus meminta izin ke pihak berwenang di sana dan bekerja sama dengan network & system administrator internal — agar memahami kebijakan mereka dan tidak melanggar aturan data safety perusahaan.

2 Acquiring the Email Data

Setelah perangkat disita, langkah berikutnya adalah acquire (menyalin/mengambil) data email untuk dianalisis. Metode akuisisi tergantung cara suspect mengakses email:

  • Desktop-based email client (Outlook, Thunderbird, Apple Mail) — bukti utamanya ada di local folders & archived files di mesin lokal.
  • Web-based email — suspect akses via browser (webmail); metode akuisisinya berbeda.

Akuisisi email adalah tugas sensitif — harus seimbang antara kemampuan teknis, pemahaman hukum, dan etika. Untuk desktop client: lokasikan local folders, ekstrak pesan dengan forensic tool yang tepat, lalu simpan copy di lokasi aman.

File email lokal bisa tersimpan di banyak lokasi berbeda. Investigator harus teliti mengidentifikasi semuanya supaya tidak ada mailbox yang terlewat.

Local Email Files — Microsoft Outlook

Saat email account di-sync ke Outlook desktop, dibuat copy lokal semua folder email dalam dua format:

PST — Personal Storage Table

  • Umumnya dipakai akun POP3. Semua data (email, contact, calendar, task) di-download dari mail server & disimpan lokal.
  • Di Outlook 2013 & sebelumnya, PST juga dipakai untuk IMAP. Namun sejak Outlook 2016, IMAP pindah ke format .ost.
C:\Users\%USERNAME%\Documents\Outlook Files

OST — Offline Storage Table

  • Dipakai akun Outlook.com, Office 365, Microsoft Exchange, dan IMAP.
  • Fungsinya: menyalin semua komponen mailbox agar bisa diakses offline. Saat koneksi kembali, isinya di-sync ulang dengan server.
C:\Users\%USERNAME%\AppData\Local\Microsoft\Outlook

AutoArchive

Investigator juga bisa mengambil artifact dari archive — folder default Outlook untuk menyimpan email lama secara otomatis pada interval tertentu. File archive disimpan dalam format .pst. Cara mencari lokasinya (butuh credential suspect):

File → Options → Advanced → AutoArchive Settings

Perhatikan path pada "Move old items to:" yang menunjukkan lokasi archive.

Local Email Files — Mozilla Thunderbird

Saat user mengonfigurasi akun email di Thunderbird, dibuat folder Profiles di:

C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles

Konvensi penamaan profile: <8 random digits>.<profile_name>. Bisa ada banyak profile tergantung penggunaan.

Struktur subfolder penting

  • ImapMail → menyimpan profil mail akun IMAP.
  • Mail → menyimpan mail POP3 & local folders lainnya.

Format penyimpanan pesan

  • Semua pesan disimpan sebagai file MBOX (tanpa ekstensi). Contoh: isi folder Inbox tersimpan di file bernama INBOX.
  • File .msf dengan nama sama → menyimpan index mail (bukan isi pesan).
  • .sbd folder → menyimpan index & pesan dalam format MBOX + MSF. Namanya mengikuti jenis akun, mis. Gmail.sbd. Berisi pesan dari semua email folder satu akun (Important, Sent Mail, Trash, folder buatan user).

Local Folders

Jika user ingin offload email dari server (untuk hemat storage), pesan bisa dipindahkan ke Local Folder:

C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles\<Profile>\Mail

Di dalamnya ada dua folder default:

  • Trash → sering dipakai sebagai folder "Archive" untuk menyimpan email lokal.
  • Unsent Messages → menyimpan isi folder Outbox / pesan yang didraft tapi belum terkirim.

Untuk akun POP3, semua pesan baru otomatis di-download & disimpan ke local folders, lalu diambil dari server.

Archive folder (khusus IMAP)

User IMAP bisa membuat folder "Archive" untuk backup lokal email penting. Lokasi default (user bisa menyimpan di lokasi lain):

C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles\<profile>\Mail\Local Folders

Cara cek lokasinya (pakai credential suspect):

Settings → Account Settings → Copies and Folders → Message Archives

Tool Akuisisi

SysTools MailPro+ — untuk Thunderbird & PST

Forensic tool yang bisa load data dari banyak file email sekaligus, preview multi-mode, analyze, & export ke berbagai format. Punya general & Wildcard search, bisa load file corrupt, dan recover deleted data. Mendukung Thunderbird, Outlook, Apple Mail, Exchange Server, dll.

Alur: Add Evidence → Select (pilih Mozilla Thunderbird / MBOX / Outlook) → pilih file/folder → retrieve pesan. Per email bisa dilihat: MESSAGE HEADER (kunci trace), HTML (body + link), ATTACHMENT (nama & isi lampiran), plus MIME/RTF/PROPERTIES. Pilih email yang punya evidentiary value → klik Export.

Kernel for OST to PST — konversi .ost → .pst

Convert OST ke PST/EML/MSG/Office 365/Exchange. Alur: Select File (pilih .ost) → tampil struktur mailbox → pilih Saving Path → pilih Saving Preferences → Finish.

Pada Saving Preferences, opsi "Save all emails (including deleted)" relevan untuk recovery — jangan lupa dipilih kalau butuh pesan yang sudah dihapus.

Ringkasan tool per skenario

SkenarioToolOutput
Thunderbird local filesSysTools MailPro+Export multi-format, recover deleted
Outlook .ostKernel for OST to PST.pst (opsi include/exclude deleted)
Outlook .pstSysTools MailPro+Export + report CSV
Gmail webmailGoogle Takeout / sync POP3-IMAPmbox / copy lokal

Akuisisi Web-based Email

Syarat mutlak: investigator harus punya credential suspect. Dua metode:

  • Google Takeout — generate offline archive Gmail dalam format mbox.
  • Sync ke email client (Outlook/Thunderbird) via POP3/IMAP untuk membuat copy lokal, lalu akuisisi dengan forensic tool.
Pastikan integritas data tidak berubah selama/setelah sinkronisasi. Webmail bagian dari cloud services, jadi investigasi juga akan melibatkan kerja sama dengan cloud service provider.
3 Examining Email Messages

Setelah email diakuisisi, investigator harus teliti memeriksa 4 area berikut — relevan langsung untuk deteksi phishing:

AreaYang diperiksa & red flag
SubjectSpoofed email dirancang menciptakan rasa panik/urgency supaya korban buru-buru membuka pesan.
Sender Email AddressEmail mengatasnamakan bank tapi memakai akun Gmail alih-alih domain resmi → indikator kuat spoofing.
Email BodySering berisi direct link/hyperlink pemancing data sensitif; bahasa/kalimat berantakan, tidak profesional.
Email AttachmentEkstensi berbahaya: .exe, .vbs, .js, .wsf, .zip — bisa mengeksekusi spyware/malware tersembunyi.
Analisis mendalam attachment mencurigakan dibahas terpisah di topik Malware Forensics.
4 Retrieving Email Headers

Email header adalah komponen vital untuk trace origin email. Header memberi info sender & recipient lewat field "From" dan "To".

Konsep kunci: header juga menyimpan path yang dilalui email saat transit. Setiap MTA (Mail Transfer Agent) yang menerima email menambah/mengubah bagian header. Karena itu investigator memeriksa header untuk memperoleh data evidentiary dan trace perpetrator.

Header bisa di-retrieve dari email mana pun setelah akuisisi. Jika ada akses fisik ke sistem suspect, bisa dipakai email program yang sama. Prosedur retrieve header berbeda tiap program — berikut langkah lengkapnya per platform.

Microsoft Outlook (desktop)

  1. Launch Microsoft Outlook.
  2. Double-click email yang mau diambil headernya.
  3. Klik File (kiri atas) → ikon Properties.
  4. Di window Properties, ambil teks dari box Internet headers.
  5. Copy-paste ke text editor, lalu save.

Outlook.live.com (web)

  1. Login ke outlook.live.com.
  2. Klik email target.
  3. Klik ( ⋯ ) di kanan atas → View → View message source.
  4. Ambil teks dari box Message source, copy-paste ke editor, save.

AOL Mail

  1. Login AOL, right-click email target.
  2. Klik ⋯More dari top menu → View raw message.
  3. Ambil header text, copy-paste ke editor, save.

Apple Mail

  1. Launch Apple Mail, pilih email.
  2. View → Message → All Headers.
  3. Untuk kembali ke tampilan ringkas: View → Message → Default Headers.
  4. Copy-paste ke editor, save.

Gmail

  1. Login Gmail, pilih email.
  2. Klik More (⋮) di sebelah tombol Reply → Show original.
  3. Header lengkap terbuka di window baru → copy-paste, save.

Yahoo Mail

  1. Login Yahoo Mail, pilih email.
  2. Klik More (⋮)View raw message.
  3. Copy-paste header text, save.

Ringkasan cepat (cheat sheet)

PlatformMenuLabel
Outlook desktopFile → PropertiesInternet headers
Outlook.live.com⋯ → ViewView message source
AOL Mail⋯MoreView raw message
Apple MailView → MessageAll Headers
Gmail⋮ (More)Show original
Yahoo Mail⋮ (More)View raw message
5 Analyzing Email Headers

Header menyimpan metadata email. Ada 10 komponen yang dianalisis:

#KomponenKeterangan
1TimestampTanggal & waktu email dikirim.
2FromSender's email ID di sisi recipient. Bisa dipalsukan (forged) — jangan langsung dipercaya.
3ToRecipient's email ID.
4Message IDID unik tiap email. Sebelum @ = timestamp; setelah @ = FQDN domain pengirim.
5SubjectSubject apa adanya dari sender.
6MIMEMemungkinkan email membawa media (audio, video, image).

MIME Headers

HeaderFungsi
MIME-VersionTanda pesan MIME-formatted (default 1.0).
Content-TypeText/plain, image/jpeg, video/mp4, Multipart/signature (ada signature), Multipart/mixed (teks + attachment).
Content-DispositionCara menampilkan pesan/body part.
Content-Transfer-EncodingEncoding isi pesan.
Content-DescriptionInfo tambahan opsional soal konten.
Multipart/mixed = ada attachment → jadikan titik perhatian untuk analisis malware.

7. Received Headers ★ (jantung tracing)

Berisi detail semua mail server yang dilewati email saat transit; ditambahkan setiap kali email melewati SMTP server/MTA. Investigator mulai memeriksa dari sini karena mencerminkan info mail server pengirim.

Aturan emas: baca Received chain dari bawah ke atas. Paling bawah = origin sesungguhnya; paling atas = server terakhir (mailbox recipient).

8. Return-Path

Alamat tujuan bounce — kemana email dikembalikan jika gagal sampai. Red flag: jika Return-Path ≠ sender's email address (From), ini indikator spamming/spoofing.

9. Received-SPF (Sender Policy Framework)

SPF mencegah sender address forgery. Organisasi mendaftarkan server yang boleh mengirim atas nama domain via SPF record di DNS.

Hasil SPFArti
NoneTidak ada SPF record untuk domain.
NeutralIP tidak di-authorize maupun di-restrict (diperlakukan seperti None).
Pass ✓IP sender di-authorize.
Fail / Hard failDitolak, IP tidak authorized. Ditandai -all.
SoftfailKemungkinan tidak authorized. Ditandai ~all, biasanya ditandai spam/junk.
# Hard fail - hanya IP ini yang boleh kirim, sisanya ditolak
v=spf1 ip4:207.84.200.37 -all

# Softfail - server tak terdaftar tetap dikirim, tapi ditandai spam/junk
v=spf1 include:modprod.outlook.com ~all

10. DKIM Signature (DomainKeys Identified Mail)

Metode autentikasi yang melindungi dari phishing/spoofing/spamming pakai public key cryptography. Memverifikasi email dikirim dari mail server legitimate & isinya tidak diubah saat transit. Server penerima memvalidasi signature dengan public key di DNS; jika dua hash cocok → email authentic & unaltered.

FieldArti
v=1Versi DKIM.
a=rsa-sha256Algoritma hash (rsa-sha1 & rsa-sha256 = dua yang resmi).
c=relaxed/relaxedCanonicalization. Sebelum / untuk header, sesudahnya untuk body.
d=gmail.comDomain email sender.
s=20161025pmSelector untuk identifikasi public DKIM key.
bh=...Hash value body (Base64).
b=...DKIM signature berdasar field di h=.

3 Pilar Deteksi Spoofing

PilarCekFail = red flag
SPFIP sender authorized kirim atas nama domain?fail/softfail → IP tak sah
DKIMSignature valid & body tidak diubah?fail → email dimodifikasi/palsu
DMARCPolicy gabungan SPF+DKIM (mis. p=QUARANTINE)fail → tindakan sesuai policy
Cross-check manual: Return-Path vs From (beda = spoofing) • Received chain bawah→atas (origin asli) • Message ID FQDN cocok dengan domain sender?
+ X-Headers, Authenticity & Tracing Origin

X-Headers

Header nonstandard yang bisa dikustomisasi, umumnya disisipkan mailbox provider untuk spam filter & authentication results. Selalu diawali huruf "X". Bisa mengungkap info yang dieksploitasi untuk phishing (software version, internal IP).

X-HeaderInfo yang diungkap
X-Originating-IPIP asal mail/sender — sulit dipalsukan
X-MailerEmail client yang dipakai — mudah di-spoof
X-Apparently-ToMuncul saat email dikirim ke banyak recipient/mailing list.
X-SieveNama & versi sistem filtering.
X-Delivered-ToAlamat mailbox tujuan pengiriman server.
X-Spam-Status / X-Spam-ScoreStatus/skor spam dari filtering software.
X-Virus-ScannedApakah & oleh AV apa email di-scan.
X-Originating-IP adalah teman terbaikmu — sulit forge, jadi lebih dipercaya untuk trace daripada X-Mailer.

Checking Email Authenticity

Untuk memverifikasi keaslian alamat email mencurigakan:

  • Email Dossier (centralops.net) — cek validitas, tampilkan MX records, memulai SMTP session untuk cek address acceptance tanpa benar-benar mengirim email.
  • Hunter's Email Verifier (hunter.io) — validasi email korporat, multilevel validation, cek keberadaan email di web publik.
  • Tool lain: emailhippo.com, email-checker.net, zerobounce.net, verifalia.com, lead.clearout.io.

Examining Originating IP (WHOIS)

Identifikasi IP mail server asal untuk melacak attacker dengan WHOIS Lookup (whois.domaintools.com):

  • Buka email → temukan header.
  • Ambil sender IP dari Received header.
  • Masukkan IP ke WHOIS Lookup search box.
  • Cari alamat geografis sender + contact abuse untuk pelaporan resmi.

Tracing Email Origin

Poin krusial: attacker bisa memalsukan semua info header KECUALI bagian "Received" yang mereferensikan komputer korban (Received terakhir). Inilah anchor terpercaya untuk trace.

Setelah verifikasi header, investigator dapat mengajukan court order (via law enforcement) untuk memperoleh log files server → menentukan sender → tindakan hukum.

Registry sites untuk menentukan email origin

RegistryWilayah
ARIN (arin.net)Amerika Utara — domain name dari IP + point of contact.
AFRINIC (afrinic.net)Afrika
APNIC (apnic.net)Asia Pasifik
RIPE (ripe.net)Eropa
LACNIC (lacnic.net)Amerika Latin & Karibia
Pilih registry sesuai region IP. IP Indonesia/Asia → gunakan APNIC.

Tracing back web-based email

Webmail (Gmail, Outlook, ProtonMail) lebih sulit ditrace karena bisa diakses dari mana pun & tidak butuh info autentik saat registrasi. Namun provider menyimpan IP setiap mesin yang mengakses layanan — setelah autentikasi IP, investigator kontak provider untuk info sender.

Tools: IP2LOCATION Email Header Tracer (ip2location.com), Social Catfish, EmailSherlock, Google Admin Toolbox, Email Header Analyzer (dnschecker.org), MxToolbox.

Alur investigasi origin

Header → ambil sender IP (Received / X-Originating-IP)
       → WHOIS Lookup (domaintools) → Organization + abuse contact
       → Regional registry (ARIN/APNIC/RIPE/dll) → point of contact
       → [jika perlu legal] Court order → server logs → identitas sender
6 Recovering Deleted Email Messages

Konsep inti: "deleted" ≠ hilang permanen — biasanya cuma pindah folder atau masuk unallocated space.

Outlook PST

  • Email dihapus → pindah ke Deleted Items, bertahan 14 hari (default, bisa diubah) → auto-delete.
  • Setelah itu → invisible bagi user, tapi tidak benar-benar terhapus — pindah ke unallocated space.
  • Bisa di-recover selama belum overwritten. Tools: Autopsy, Paraben's E3.

Thunderbird

  • Email dihapus disimpan di folder Trash sampai di-clear.
  • Autopsy & Paraben's E3 bisa recover — tergantung seberapa cepat dilakukan. Jika Local Trash ikut dihapus, complete recovery masih mungkin.
Semakin cepat recovery, semakin tinggi peluang berhasil. Waktu = musuh, karena overwrite bisa terjadi kapan saja.

Gmail

Email dihapus → pindah ke Trash (bukan langsung hilang) sampai di-clear. Recovery: Trash → pilih email → ikon Move → pilih lokasi tujuan.

Outlook — dua kategori penghapusan

KategoriTriggerEfek
Soft deletionDelete biasa (Inbox/Drafts/Sent)Pindah ke Deleted Items.
Hard deletionShift+DeleteDihapus permanen dari mailbox.

Recovery Outlook: HOME → Recover Deleted Items From Server → pilih email → Restore Selected Items → OK.

Email Recovery Tools

  • EaseUS Email Recovery Wizard — recover email hilang + repair PST corrupt, bisa preview sebelum recovery.
  • Stellar Undelete Email, SysTools Outlook Recovery, Kernel for Outlook PST Repair, Recover My Email, Recovery Toolbox for Outlook.
Bedakan soft vs hard deletion. Soft delete = mudah (masih di folder). Hard delete (Shift+Delete) & permanent delete = butuh forensic tool + carving dari unallocated space, dan race melawan overwrite.
§ Aspek Legal: U.S. CAN-SPAM Act

CAN-SPAM = Controlling the Assault of Non-Solicited Pornography and Marketing Act. UU AS yang mengatur pengiriman email komersial, memberi recipient hak opt-out, dan menjabarkan penalti.

Syarat utama untuk sender

  • Tidak menggunakan header information palsu/menyesatkan.
  • Tidak menggunakan subject line yang menipu.
  • Email komersial harus diidentifikasi sebagai iklan (ad).
  • Mencantumkan alamat fisik pos yang valid.
  • Memuat info cara berhenti berlangganan (opt-out).
  • Menghormati opt-out dalam 10 hari kerja.
  • Baik pemilik produk maupun emailer yang dikontrak, keduanya wajib patuh.

Penalties

Denda hingga $50,120 per email. Pelanggaran tertentu dapat dikenai denda tambahan + pidana & penjara, antara lain:

  • Mengakses komputer orang lain untuk kirim spam tanpa izin.
  • Menggunakan info palsu untuk register banyak akun email/domain.
  • Relaying spam massal untuk menyesatkan asal pesan.
  • Harvesting alamat email / dictionary attack.
  • Memanfaatkan open relay / open proxy tanpa izin.
Konteks Indonesia: CAN-SPAM adalah yurisdiksi AS. Padanan di Indonesia lebih ke UU ITE (akses ilegal, penyalahgunaan sistem) & UU PDP (perlindungan data pribadi). Selalu sesuaikan dasar hukum dengan yurisdiksi kasus yang ditangani.
tags