DIFR : Email & Email crime

Email Forensics: Investigasi Email Crime

Panduan lengkap untuk melakukan investigasi terhadap email crime — mulai dari penyitaan bukti sampai pemulihan email yang terhapus.

ABSTRACT

Investigasi email crime bukan sekadar membuka inbox. Ada urutan langkah yang harus diikuti supaya bukti yang dikumpulkan sah secara hukum (admissible) dan integritasnya terjaga. Reference note ini membahas seluruh alurnya secara terstruktur, plus teknik analisis header yang jadi inti deteksi spoofing/phishing.

Siapa yang cocok memakai referensi ini?

  • SOC Analyst & DFIR Practitioner
  • Incident Responder
  • Digital Forensics Investigator
  • CERT / CSIRT
Ingat: Sebelum menyentuh perangkat apa pun, pastikan dasar hukum (search warrant / otorisasi) sudah ada. Bukti yang diperoleh tanpa dasar sah bisa gugur di pengadilan.

Enam Langkah Investigasi Email Crime

Alur investigasi terdiri dari 6 langkah utama:

  • Seizing — menyita komputer & email accounts.
  • Acquiring — mengakuisisi data email.
  • Examining — memeriksa isi pesan email.
  • Retrieving — mengambil email headers.
  • Analyzing — menganalisis email headers.
  • Recovering — memulihkan email yang terhapus.

Memahami Bagian-bagian Email Message

Sebelum masuk ke investigasi, penting memahami dulu struktur sebuah email. Email message adalah pesan teks yang dikirim/diterima lewat jaringan, bisa disertai attachments (gambar, spreadsheet, dll) dan dikirim ke beberapa penerima sekaligus.

Formatnya diatur standar: RFC 5322 mendefinisikan format Internet email message, dan RFC 2045–2049 mendefinisikan attachment multimedia — keduanya disebut MIME (Multi-Purpose Internet Mail Extensions).

Sebuah email terdiri atas 5 bagian utama:

1. Message Header

Bagian yang memuat metadata pengirim, penerima, dan info teknis. Field-field pentingnya:

FieldFungsi
ToKepada siapa pesan ditujukan. Catatan: "To" tidak selalu berisi alamat penerima sebenarnya.
CcCarbon copy — penerima tambahan di luar "To". Bedanya dengan "To" lebih bersifat konotatif.
BccBlind carbon copy — salinan ke orang lain tanpa muncul di header. Populer di kalangan spammer karena membingungkan penerima.
FromMenentukan pengirim (sender) pesan.
Reply-ToAlamat tujuan balasan. Banyak kegunaan sah, tapi juga dipakai spammer untuk mengelak/mengumpulkan respons.
Message-IDIdentifier unik tiap email untuk keperluan tracking.
SenderJarang muncul (biasanya diganti "X-Sender"). Mengidentifikasi pengirim sebenarnya.
SubjectField bebas (free-form) untuk mendeskripsikan subjek pesan.
DateTanggal pembuatan & pengiriman. Bisa ditambah server jika dihilangkan pengirim.
MIME-VersionVersi protokol MIME yang dipakai.
PriorityPrioritas email (free-form). Sering diabaikan software; kerap dipakai spammer agar pesan dibaca.
ReceivedLog setiap server yang dilalui email — kunci utama tracing.
Content-TypeFormat email (plain text, HTML, dll).
AttachmentsReferensi ke file yang dilampirkan pada email.
Sebuah baris kosong (blank line) memisahkan header dan body. Di email, body selalu ditempatkan setelah baris-baris header.

2. Message Body

Pesan utama email — berisi teks, gambar, hyperlink, dan data lain. Attachments bisa muncul sejajar (in line) dengan teks. Standar Internet email tidak membatasi ukuran body, tapi tiap mail server punya message size limit sendiri.

3. Attachments

File yang dikirim bersama email (dokumen, gambar, audio, video, dll). Secara teknis bukan bagian dari body — file di-encode saat dikirim lalu di-decode saat diterima.

4. Signature

Informasi tambahan di akhir email berisi nama & detail kontak pengirim. Bisa berupa plain text atau gambar.

5. Headers for Security

Header SPF, DKIM, dan DMARC dipakai untuk mengautentikasi pengirim dan memastikan email tidak dimanipulasi (tampered) saat transit. Sangat kritikal untuk perlindungan terhadap spam & phishing.

Tiga header keamanan ini (SPF/DKIM/DMARC) adalah fondasi analisis di Step 5 nanti — di situlah pemeriksaan detailnya dilakukan untuk mendeteksi spoofing.
1 Seizing the Computer & Email Accounts

Untuk melakukan on-site examination terhadap komputer & email server, investigator wajib memiliki search warrant dalam bahasa sesuai yurisdiksi. Warrant inilah yang memberi izin pemeriksaan.

Yang harus dilakukan

  • Sita semua komputer & email account yang dicurigai terlibat dalam kejahatan.
  • Untuk menguasai email account, ubah password-nya — bisa dengan meminta password ke korban, atau mengambil langsung dari mail server. Tujuannya agar suspect tidak bisa masuk dan menghapus/mengubah bukti.

Kasus korporat

Jika korbannya sebuah organisasi, investigator harus meminta izin ke pihak berwenang di sana dan bekerja sama dengan network & system administrator internal — agar memahami kebijakan mereka dan tidak melanggar aturan data safety perusahaan.

2 Acquiring the Email Data

Setelah perangkat disita, langkah berikutnya adalah acquire (menyalin/mengambil) data email untuk dianalisis. Metode akuisisi tergantung cara suspect mengakses email:

  • Desktop-based email client (Outlook, Thunderbird, Apple Mail) — bukti utamanya ada di local folders & archived files di mesin lokal.
  • Web-based email — suspect akses via browser (webmail); metode akuisisinya berbeda.

Akuisisi email adalah tugas sensitif — harus seimbang antara kemampuan teknis, pemahaman hukum, dan etika. Untuk desktop client: lokasikan local folders, ekstrak pesan dengan forensic tool yang tepat, lalu simpan copy di lokasi aman.

File email lokal bisa tersimpan di banyak lokasi berbeda. Investigator harus teliti mengidentifikasi semuanya supaya tidak ada mailbox yang terlewat.

Local Email Files — Microsoft Outlook

Saat email account di-sync ke Outlook desktop, dibuat copy lokal semua folder email dalam dua format:

PST — Personal Storage Table

  • Umumnya dipakai akun POP3. Semua data (email, contact, calendar, task) di-download dari mail server & disimpan lokal.
  • Di Outlook 2013 & sebelumnya, PST juga dipakai untuk IMAP. Namun sejak Outlook 2016, IMAP pindah ke format .ost.
C:\Users\%USERNAME%\Documents\Outlook Files

OST — Offline Storage Table

  • Dipakai akun Outlook.com, Office 365, Microsoft Exchange, dan IMAP.
  • Fungsinya: menyalin semua komponen mailbox agar bisa diakses offline. Saat koneksi kembali, isinya di-sync ulang dengan server.
C:\Users\%USERNAME%\AppData\Local\Microsoft\Outlook

AutoArchive

Investigator juga bisa mengambil artifact dari archive — folder default Outlook untuk menyimpan email lama secara otomatis pada interval tertentu. File archive disimpan dalam format .pst. Cara mencari lokasinya (butuh credential suspect):

File → Options → Advanced → AutoArchive Settings

Perhatikan path pada "Move old items to:" yang menunjukkan lokasi archive.

Local Email Files — Mozilla Thunderbird

Saat user mengonfigurasi akun email di Thunderbird, dibuat folder Profiles di:

C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles

Konvensi penamaan profile: <8 random digits>.<profile_name>. Bisa ada banyak profile tergantung penggunaan.

Struktur subfolder penting

  • ImapMail → menyimpan profil mail akun IMAP.
  • Mail → menyimpan mail POP3 & local folders lainnya.

Format penyimpanan pesan

  • Semua pesan disimpan sebagai file MBOX (tanpa ekstensi). Contoh: isi folder Inbox tersimpan di file bernama INBOX.
  • File .msf dengan nama sama → menyimpan index mail (bukan isi pesan).
  • .sbd folder → menyimpan index & pesan dalam format MBOX + MSF. Namanya mengikuti jenis akun, mis. Gmail.sbd. Berisi pesan dari semua email folder satu akun (Important, Sent Mail, Trash, folder buatan user).

Local Folders

Jika user ingin offload email dari server (untuk hemat storage), pesan bisa dipindahkan ke Local Folder:

C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles\<Profile>\Mail

Di dalamnya ada dua folder default:

  • Trash → sering dipakai sebagai folder "Archive" untuk menyimpan email lokal.
  • Unsent Messages → menyimpan isi folder Outbox / pesan yang didraft tapi belum terkirim.

Untuk akun POP3, semua pesan baru otomatis di-download & disimpan ke local folders, lalu diambil dari server.

Archive folder (khusus IMAP)

User IMAP bisa membuat folder "Archive" untuk backup lokal email penting. Lokasi default (user bisa menyimpan di lokasi lain):

C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles\<profile>\Mail\Local Folders

Cara cek lokasinya (pakai credential suspect):

Settings → Account Settings → Copies and Folders → Message Archives

Tool Akuisisi

SysTools MailPro+ — untuk Thunderbird & PST

Forensic tool yang bisa load data dari banyak file email sekaligus, preview multi-mode, analyze, & export ke berbagai format. Punya general & Wildcard search, bisa load file corrupt, dan recover deleted data. Mendukung Thunderbird, Outlook, Apple Mail, Exchange Server, dll.

Alur: Add Evidence → Select (pilih Mozilla Thunderbird / MBOX / Outlook) → pilih file/folder → retrieve pesan. Per email bisa dilihat: MESSAGE HEADER (kunci trace), HTML (body + link), ATTACHMENT (nama & isi lampiran), plus MIME/RTF/PROPERTIES. Pilih email yang punya evidentiary value → klik Export.

Kernel for OST to PST — konversi .ost → .pst

Convert OST ke PST/EML/MSG/Office 365/Exchange. Alur: Select File (pilih .ost) → tampil struktur mailbox → pilih Saving Path → pilih Saving Preferences → Finish.

Pada Saving Preferences, opsi "Save all emails (including deleted)" relevan untuk recovery — jangan lupa dipilih kalau butuh pesan yang sudah dihapus.

Ringkasan tool per skenario

SkenarioToolOutput
Thunderbird local filesSysTools MailPro+Export multi-format, recover deleted
Outlook .ostKernel for OST to PST.pst (opsi include/exclude deleted)
Outlook .pstSysTools MailPro+Export + report CSV
Gmail webmailGoogle Takeout / sync POP3-IMAPmbox / copy lokal

Akuisisi Web-based Email

Syarat mutlak: investigator harus punya credential suspect. Dua metode:

  • Google Takeout — generate offline archive Gmail dalam format mbox.
  • Sync ke email client (Outlook/Thunderbird) via POP3/IMAP untuk membuat copy lokal, lalu akuisisi dengan forensic tool.
Pastikan integritas data tidak berubah selama/setelah sinkronisasi. Webmail bagian dari cloud services, jadi investigasi juga akan melibatkan kerja sama dengan cloud service provider.
3 Examining Email Messages

Setelah email diakuisisi, investigator harus teliti memeriksa 4 area berikut — relevan langsung untuk deteksi phishing:

AreaYang diperiksa & red flag
SubjectSpoofed email dirancang menciptakan rasa panik/urgency supaya korban buru-buru membuka pesan.
Sender Email AddressEmail mengatasnamakan bank tapi memakai akun Gmail alih-alih domain resmi → indikator kuat spoofing.
Email BodySering berisi direct link/hyperlink pemancing data sensitif; bahasa/kalimat berantakan, tidak profesional.
Email AttachmentEkstensi berbahaya: .exe, .vbs, .js, .wsf, .zip — bisa mengeksekusi spyware/malware tersembunyi.
Analisis mendalam attachment mencurigakan dibahas terpisah di topik Malware Forensics.
4 Retrieving Email Headers

Email header adalah komponen vital untuk trace origin email. Header memberi info sender & recipient lewat field "From" dan "To".

Konsep kunci: header juga menyimpan path yang dilalui email saat transit. Setiap MTA (Mail Transfer Agent) yang menerima email menambah/mengubah bagian header. Karena itu investigator memeriksa header untuk memperoleh data evidentiary dan trace perpetrator.

Header bisa di-retrieve dari email mana pun setelah akuisisi. Jika ada akses fisik ke sistem suspect, bisa dipakai email program yang sama. Prosedur retrieve header berbeda tiap program — berikut langkah lengkapnya per platform.

Microsoft Outlook (desktop)

  1. Launch Microsoft Outlook.
  2. Double-click email yang mau diambil headernya.
  3. Klik File (kiri atas) → ikon Properties.
  4. Di window Properties, ambil teks dari box Internet headers.
  5. Copy-paste ke text editor, lalu save.

Outlook.live.com (web)

  1. Login ke outlook.live.com.
  2. Klik email target.
  3. Klik ( ⋯ ) di kanan atas → View → View message source.
  4. Ambil teks dari box Message source, copy-paste ke editor, save.

AOL Mail

  1. Login AOL, right-click email target.
  2. Klik ⋯More dari top menu → View raw message.
  3. Ambil header text, copy-paste ke editor, save.

Apple Mail

  1. Launch Apple Mail, pilih email.
  2. View → Message → All Headers.
  3. Untuk kembali ke tampilan ringkas: View → Message → Default Headers.
  4. Copy-paste ke editor, save.

Gmail

  1. Login Gmail, pilih email.
  2. Klik More (⋮) di sebelah tombol Reply → Show original.
  3. Header lengkap terbuka di window baru → copy-paste, save.

Yahoo Mail

  1. Login Yahoo Mail, pilih email.
  2. Klik More (⋮)View raw message.
  3. Copy-paste header text, save.

Ringkasan cepat (cheat sheet)

PlatformMenuLabel
Outlook desktopFile → PropertiesInternet headers
Outlook.live.com⋯ → ViewView message source
AOL Mail⋯MoreView raw message
Apple MailView → MessageAll Headers
Gmail⋮ (More)Show original
Yahoo Mail⋮ (More)View raw message
5 Analyzing Email Headers

Header menyimpan metadata email. Ada 10 komponen yang dianalisis:

#KomponenKeterangan
1TimestampTanggal & waktu email dikirim.
2FromSender's email ID di sisi recipient. Bisa dipalsukan (forged) — jangan langsung dipercaya.
3ToRecipient's email ID.
4Message IDID unik tiap email. Sebelum @ = timestamp; setelah @ = FQDN domain pengirim.
5SubjectSubject apa adanya dari sender.
6MIMEMemungkinkan email membawa media (audio, video, image).

MIME Headers

HeaderFungsi
MIME-VersionTanda pesan MIME-formatted (default 1.0).
Content-TypeText/plain, image/jpeg, video/mp4, Multipart/signature (ada signature), Multipart/mixed (teks + attachment).
Content-DispositionCara menampilkan pesan/body part.
Content-Transfer-EncodingEncoding isi pesan.
Content-DescriptionInfo tambahan opsional soal konten.
Multipart/mixed = ada attachment → jadikan titik perhatian untuk analisis malware.

7. Received Headers ★ (jantung tracing)

Berisi detail semua mail server yang dilewati email saat transit; ditambahkan setiap kali email melewati SMTP server/MTA. Investigator mulai memeriksa dari sini karena mencerminkan info mail server pengirim.

Aturan emas: baca Received chain dari bawah ke atas. Paling bawah = origin sesungguhnya; paling atas = server terakhir (mailbox recipient).

8. Return-Path

Alamat tujuan bounce — kemana email dikembalikan jika gagal sampai. Red flag: jika Return-Path ≠ sender's email address (From), ini indikator spamming/spoofing.

9. Received-SPF (Sender Policy Framework)

SPF mencegah sender address forgery. Organisasi mendaftarkan server yang boleh mengirim atas nama domain via SPF record di DNS.

Hasil SPFArti
NoneTidak ada SPF record untuk domain.
NeutralIP tidak di-authorize maupun di-restrict (diperlakukan seperti None).
Pass ✓IP sender di-authorize.
Fail / Hard failDitolak, IP tidak authorized. Ditandai -all.
SoftfailKemungkinan tidak authorized. Ditandai ~all, biasanya ditandai spam/junk.
# Hard fail - hanya IP ini yang boleh kirim, sisanya ditolak
v=spf1 ip4:207.84.200.37 -all

# Softfail - server tak terdaftar tetap dikirim, tapi ditandai spam/junk
v=spf1 include:modprod.outlook.com ~all

10. DKIM Signature (DomainKeys Identified Mail)

Metode autentikasi yang melindungi dari phishing/spoofing/spamming pakai public key cryptography. Memverifikasi email dikirim dari mail server legitimate & isinya tidak diubah saat transit. Server penerima memvalidasi signature dengan public key di DNS; jika dua hash cocok → email authentic & unaltered.

FieldArti
v=1Versi DKIM.
a=rsa-sha256Algoritma hash (rsa-sha1 & rsa-sha256 = dua yang resmi).
c=relaxed/relaxedCanonicalization. Sebelum / untuk header, sesudahnya untuk body.
d=gmail.comDomain email sender.
s=20161025pmSelector untuk identifikasi public DKIM key.
bh=...Hash value body (Base64).
b=...DKIM signature berdasar field di h=.

3 Pilar Deteksi Spoofing

PilarCekFail = red flag
SPFIP sender authorized kirim atas nama domain?fail/softfail → IP tak sah
DKIMSignature valid & body tidak diubah?fail → email dimodifikasi/palsu
DMARCPolicy gabungan SPF+DKIM (mis. p=QUARANTINE)fail → tindakan sesuai policy
Cross-check manual: Return-Path vs From (beda = spoofing) • Received chain bawah→atas (origin asli) • Message ID FQDN cocok dengan domain sender?
+ X-Headers, Authenticity & Tracing Origin

X-Headers

Header nonstandard yang bisa dikustomisasi, umumnya disisipkan mailbox provider untuk spam filter & authentication results. Selalu diawali huruf "X". Bisa mengungkap info yang dieksploitasi untuk phishing (software version, internal IP).

X-HeaderInfo yang diungkap
X-Originating-IPIP asal mail/sender — sulit dipalsukan
X-MailerEmail client yang dipakai — mudah di-spoof
X-Apparently-ToMuncul saat email dikirim ke banyak recipient/mailing list.
X-SieveNama & versi sistem filtering.
X-Delivered-ToAlamat mailbox tujuan pengiriman server.
X-Spam-Status / X-Spam-ScoreStatus/skor spam dari filtering software.
X-Virus-ScannedApakah & oleh AV apa email di-scan.
X-Originating-IP adalah teman terbaikmu — sulit forge, jadi lebih dipercaya untuk trace daripada X-Mailer.

Checking Email Authenticity

Untuk memverifikasi keaslian alamat email mencurigakan:

  • Email Dossier (centralops.net) — cek validitas, tampilkan MX records, memulai SMTP session untuk cek address acceptance tanpa benar-benar mengirim email.
  • Hunter's Email Verifier (hunter.io) — validasi email korporat, multilevel validation, cek keberadaan email di web publik.
  • Tool lain: emailhippo.com, email-checker.net, zerobounce.net, verifalia.com, lead.clearout.io.

Examining Originating IP (WHOIS)

Identifikasi IP mail server asal untuk melacak attacker dengan WHOIS Lookup (whois.domaintools.com):

  • Buka email → temukan header.
  • Ambil sender IP dari Received header.
  • Masukkan IP ke WHOIS Lookup search box.
  • Cari alamat geografis sender + contact abuse untuk pelaporan resmi.

Tracing Email Origin

Poin krusial: attacker bisa memalsukan semua info header KECUALI bagian "Received" yang mereferensikan komputer korban (Received terakhir). Inilah anchor terpercaya untuk trace.

Setelah verifikasi header, investigator dapat mengajukan court order (via law enforcement) untuk memperoleh log files server → menentukan sender → tindakan hukum.

Registry sites untuk menentukan email origin

RegistryWilayah
ARIN (arin.net)Amerika Utara — domain name dari IP + point of contact.
AFRINIC (afrinic.net)Afrika
APNIC (apnic.net)Asia Pasifik
RIPE (ripe.net)Eropa
LACNIC (lacnic.net)Amerika Latin & Karibia
Pilih registry sesuai region IP. IP Indonesia/Asia → gunakan APNIC.

Tracing back web-based email

Webmail (Gmail, Outlook, ProtonMail) lebih sulit ditrace karena bisa diakses dari mana pun & tidak butuh info autentik saat registrasi. Namun provider menyimpan IP setiap mesin yang mengakses layanan — setelah autentikasi IP, investigator kontak provider untuk info sender.

Tools: IP2LOCATION Email Header Tracer (ip2location.com), Social Catfish, EmailSherlock, Google Admin Toolbox, Email Header Analyzer (dnschecker.org), MxToolbox.

Alur investigasi origin

Header → ambil sender IP (Received / X-Originating-IP)
       → WHOIS Lookup (domaintools) → Organization + abuse contact
       → Regional registry (ARIN/APNIC/RIPE/dll) → point of contact
       → [jika perlu legal] Court order → server logs → identitas sender
A Dua Wajah "From": Kenapa SPF Pass ≠ Sender Sah

Ini konsep pengikat yang paling sering terlewat. Step 5 sudah mengecek SPF/DKIM/DMARC, tapi ada jebakan besar: SPF pass belum tentu alamat From yang kelihatan itu asli.

Ada DUA alamat "From" di satu email

IdentifierKeterangan
RFC 5321 MAIL FROM
(envelope sender)
Dipakai saat SMTP handshake, tercermin di header Return-Path. Inilah yang di-cek oleh SPF. Normalnya tidak dilihat user biasa.
RFC 5322 From:
(header From)
Yang tampil di email client yang dilihat korban. Bisa diisi apa saja oleh pengirim.
Jebakannya: SPF hanya mengautentikasi domain envelope (MAIL FROM), BUKAN From: yang kelihatan. Attacker bisa kirim dari domain yang dia kontrol (SPF pass untuk domain itu) sambil menaruh From: ceo@bank.co.id. Hasilnya: SPF = pass, tapi From tetap palsu.

DMARC perekat yang menutup celah

DMARC menuntut alignment: domain yang lolos autentikasi (SPF-authenticated MAIL FROM atau DKIM d=) harus cocok dengan domain di From:. Kalau tidak align → DMARC fail.

Jenis alignmentSyarat cocok
SPF alignmentDomain MAIL FROM = domain From.
DKIM alignmentDomain d= = domain From.
relaxedCukup cocok di organizational domain (mail.bank.co.idbank.co.id).
strictHarus persis sama.

DMARC pass = (SPF pass & aligned) ATAU (DKIM pass & aligned). Aksinya ditentukan policy:

PolicyEfek
p=noneMonitor saja, email tetap masuk. Umum saat tahap rollout.
p=quarantineDiarahkan ke junk/spam.
p=rejectDitolak total oleh server penerima.

Authentication-Results header yang benar-benar kamu baca

Di lapangan, analyst tidak me-run ulang SPF/DKIM manual. Yang dibaca adalah header Authentication-Results yang sudah distempel MTA penerima:

# Kasus normal (email sah)   semua aligned
Authentication-Results: mx.google.com;
       spf=pass smtp.mailfrom=bounce@bank.co.id;
       dkim=pass header.d=bank.co.id;
       dmarc=pass header.from=bank.co.id
# SPOOFING yang lolos SPF   perhatikan tiga baris ini
Authentication-Results: mx.corp.example;
       spf=pass    smtp.mailfrom=blast@mailer-evil.com   <- SPF pass, tapi ke domain ATTACKER
       dkim=none;
       dmarc=fail  header.from=bank.co.id                <- From beda → DMARC FAIL
compauth & ARC: Di Microsoft 365 muncul juga compauth (composite authentication). Untuk email yang lewat mailing-list / forwarder (SPF & DKIM sering break), cek ARC (Authenticated Received Chain) ARC-Authentication-Results menyimpan hasil auth asli sebelum email di-forward.
Aturan pegangan: FromReturn-Path + dmarc=fail = indikator spoofing kuat. Jangan pernah menyimpulkan "aman" hanya karena spf=pass selalu cek dmarc dan header.from.
B Email Crime Modern: BEC & Cloud Mailbox Forensics

Enam langkah di atas berfokus ke desktop client + header. Tapi mayoritas email crime hari ini adalah BEC (Business Email Compromise) / account takeover di mailbox cloud (Microsoft 365, Google Workspace). Artefaknya bukan di PST lokal, melainkan di log server.

Pola serangan BEC

  • Account takeover via phishing → attacker login ke mailbox yang sah.
  • Pasang inbox rule diam-diam: auto-forward ke domain luar, atau auto-delete balasan agar korban tidak sadar.
  • Thread hijacking: membalas thread asli untuk mengalihkan pembayaran (invoice/payment fraud).
  • Memakai look-alike domain untuk impersonasi partner/vendor.

Look-alike & display-name spoofing

TeknikContoh
Display-name spoofFrom: "Direktur Keuangan" <random123@gmail.com> nama tampil meyakinkan, alamat asli free-mail.
Typosquattingbank.co.idbank-co.id / bankco.id / bamk.co.id
Homoglyph / IDN homographHuruf mirip (Cyrillic а menyaru "a"); muncul sebagai punycode xn--... di header.
Combosquat / subdomainlogin.bank.secure-verify[.]com domain inti bukan "bank".

Artefak forensik Microsoft 365 / Exchange Online

ArtefakNilai forensik
Unified Audit Log (Purview)Search-UnifiedAuditLog aktivitas mailbox & admin, login, consent app.
Message TraceGet-MessageTrace / historical search jejak email masuk/keluar (kapan, dari/ke mana).
MailItemsAccessedAudit action krusial BEC item mail mana yang dibuka attacker (scoping data exposure).
Inbox / Transport rulesGet-InboxRule, Get-TransportRule rule jahat (forward/delete) = persistence.
Mail forwardingForwardingSmtpAddress, DeliverToMailboxAndForward auto-forward ke luar.
OAuth app consentApp pihak-ketiga yang diberi izin (illicit consent grant) = persistence tanpa password.
Entra ID sign-in logsImpossible travel, IP asing, legacy auth.
# Cari inbox rule jahat (forward/delete)   indikator klasik BEC
Get-InboxRule -Mailbox korban@corp.example |
    fl Name,Enabled,ForwardTo,ForwardAsAttachmentTo,DeleteMessage,MoveToFolder

# Auto-forward tersembunyi di level mailbox
Get-Mailbox korban@corp.example | fl ForwardingSmtpAddress,DeliverToMailboxAndForward

# Jejak pesan 10 hari terakhir
Get-MessageTrace -RecipientAddress korban@corp.example `
    -StartDate (Get-Date).AddDays(-10) -EndDate (Get-Date)

# Audit log: akses mailbox & perubahan rule mencurigakan
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date) `
    -UserIds korban@corp.example `
    -Operations MailItemsAccessed,New-InboxRule,UpdateInboxRules,Set-Mailbox

Artefak forensik Google Workspace

ArtefakNilai forensik
Login audit logAdmin console → Reporting → Audit → Login: IP, waktu, device, suspicious login.
Email Log Search (ELS)Trace pengiriman/penerimaan pesan di level Workspace.
Admin / Drive auditPerubahan konfigurasi & akses data.
Google VaultLegal hold & eDiscovery pesan (termasuk yang dihapus, bila hold aktif).
OAuth / 3rd-party app accessReview token app yang punya akses Gmail revoke bila jahat.
Prioritas hunt BEC: (1) inbox rule + auto-forward, (2) MailItemsAccessed untuk cakupan data, (3) sign-in log impossible travel, (4) OAuth consent grant. Empat ini menjawab dua pertanyaan inti: "attacker masih punya akses?" dan "data apa yang bocor?"
6 Recovering Deleted Email Messages

Konsep inti: "deleted" ≠ hilang permanen — biasanya cuma pindah folder atau masuk unallocated space.

Outlook PST

  • Email dihapus → pindah ke Deleted Items, bertahan 14 hari (default, bisa diubah) → auto-delete.
  • Setelah itu → invisible bagi user, tapi tidak benar-benar terhapus — pindah ke unallocated space.
  • Bisa di-recover selama belum overwritten. Tools: Autopsy, Paraben's E3.

Thunderbird

  • Email dihapus disimpan di folder Trash sampai di-clear.
  • Autopsy & Paraben's E3 bisa recover — tergantung seberapa cepat dilakukan. Jika Local Trash ikut dihapus, complete recovery masih mungkin.
Semakin cepat recovery, semakin tinggi peluang berhasil. Waktu = musuh, karena overwrite bisa terjadi kapan saja.

Gmail

Email dihapus → pindah ke Trash (bukan langsung hilang) sampai di-clear. Recovery: Trash → pilih email → ikon Move → pilih lokasi tujuan.

Outlook — dua kategori penghapusan

KategoriTriggerEfek
Soft deletionDelete biasa (Inbox/Drafts/Sent)Pindah ke Deleted Items.
Hard deletionShift+DeleteDihapus permanen dari mailbox.

Recovery Outlook: HOME → Recover Deleted Items From Server → pilih email → Restore Selected Items → OK.

Email Recovery Tools

  • EaseUS Email Recovery Wizard — recover email hilang + repair PST corrupt, bisa preview sebelum recovery.
  • Stellar Undelete Email, SysTools Outlook Recovery, Kernel for Outlook PST Repair, Recover My Email, Recovery Toolbox for Outlook.
Bedakan soft vs hard deletion. Soft delete = mudah (masih di folder). Hard delete (Shift+Delete) & permanent delete = butuh forensic tool + carving dari unallocated space, dan race melawan overwrite.
C Integritas Bukti, Chain of Custody & Membaca Received Chain

Abstract menyebut bukti harus admissible ini cara mengoperasionalkannya supaya bukti bertahan di pengadilan, bukan sekadar "simpan copy di lokasi aman".

Jaga integritas bukti

  • Kerja di COPY; original disimpan read-only / write-blocked.
  • Hash sebelum & sesudah akuisisi, catat nilainya. Hash sama = integritas terbukti.
  • Semua timestamp dicatat dalam UTC untuk menghindari kekacauan zona waktu.
  • Dokumentasikan: siapa (collector), apa (source), kapan, di mana, pakai tool + versi berapa.
# Hitung & simpan hash bukti (Linux)
sha256sum evidence.pst evidence.ost > evidence_hashes.txt

# Windows PowerShell
Get-FileHash .\evidence.pst -Algorithm SHA256

Chain of Custody (CoC) minimal yang dicatat

ElemenIsi
IdentifikasiID bukti, deskripsi, hash, source device.
KolektorNama, jabatan, tanggal/jam (UTC).
ToolNama + versi, metode akuisisi.
TransferTiap perpindahan tangan dicatat (dari → ke, waktu, alasan).

Membaca Received chain (dengan benar)

Aturan emas "baca bawah ke atas, bawah = origin" itu benar TAPI setengah cerita. Kuncinya konsep trust boundary.

Received: from mx.corp.example (mx.corp.example [10.0.0.5])   <- ditambah server LU (tepercaya)
        by mbox.corp.example with ESMTPS id 4abc;
        Tue, 01 Jul 2025 09:14:05 +0000 (UTC)
Received: from mail.evil.example ([203.0.113.66])            <- IP asli yg NYAMBUNG ke server lu = ANCHOR
        by mx.corp.example with ESMTP id 4xyz;
        Tue, 01 Jul 2025 09:14:02 +0000 (UTC)
Received: from trusted-partner.com ([192.0.2.9])            <- DI BAWAH boundary = bisa DIPALSUKAN
        by mail.evil.example ...
Trust boundary: yang bisa dipercaya = Received yang ditambah server di bawah kendali kamu (dari atas turun sampai boundary MTA pertama). IP yang direkam boundary MTA = IP asli hop sebelumnya attacker tidak bisa forge karena server-mu yang mengamatinya. Semua Received di bawah anchor itu bisa disuntik palsu. Jadi "bottom = origin" hanya valid kalau bottom masih di dalam/atas trust boundary.
Cross-check anti-spoof: (1) timestamp antar-hop logis & urut? Loncatan/mundur = mencurigakan. (2) Date header vs Received paling atas selisih jauh = red flag. (3) FQDN setelah @ di Message-ID resolve & cocok dengan domain sender?
§ Aspek Legal: U.S. CAN-SPAM Act

CAN-SPAM = Controlling the Assault of Non-Solicited Pornography and Marketing Act. UU AS yang mengatur pengiriman email komersial, memberi recipient hak opt-out, dan menjabarkan penalti.

Syarat utama untuk sender

  • Tidak menggunakan header information palsu/menyesatkan.
  • Tidak menggunakan subject line yang menipu.
  • Email komersial harus diidentifikasi sebagai iklan (ad).
  • Mencantumkan alamat fisik pos yang valid.
  • Memuat info cara berhenti berlangganan (opt-out).
  • Menghormati opt-out dalam 10 hari kerja.
  • Baik pemilik produk maupun emailer yang dikontrak, keduanya wajib patuh.

Penalties

Denda hingga $50,120 per email. Pelanggaran tertentu dapat dikenai denda tambahan + pidana & penjara, antara lain:

  • Mengakses komputer orang lain untuk kirim spam tanpa izin.
  • Menggunakan info palsu untuk register banyak akun email/domain.
  • Relaying spam massal untuk menyesatkan asal pesan.
  • Harvesting alamat email / dictionary attack.
  • Memanfaatkan open relay / open proxy tanpa izin.
Konteks Indonesia: CAN-SPAM adalah yurisdiksi AS. Padanan di Indonesia lebih ke UU ITE (akses ilegal, penyalahgunaan sistem) & UU PDP (perlindungan data pribadi). Selalu sesuaikan dasar hukum dengan yurisdiksi kasus yang ditangani.