Email Forensics: Investigasi Email Crime
Panduan lengkap untuk melakukan investigasi terhadap email crime — mulai dari penyitaan bukti sampai pemulihan email yang terhapus.
ABSTRACTInvestigasi email crime bukan sekadar membuka inbox. Ada urutan langkah yang harus diikuti supaya bukti yang dikumpulkan sah secara hukum (admissible) dan integritasnya terjaga. Reference note ini membahas seluruh alurnya secara terstruktur, plus teknik analisis header yang jadi inti deteksi spoofing/phishing.
Siapa yang cocok memakai referensi ini?
- SOC Analyst & DFIR Practitioner
- Incident Responder
- Digital Forensics Investigator
- CERT / CSIRT
Enam Langkah Investigasi Email Crime
Alur investigasi terdiri dari 6 langkah utama:
- Seizing — menyita komputer & email accounts.
- Acquiring — mengakuisisi data email.
- Examining — memeriksa isi pesan email.
- Retrieving — mengambil email headers.
- Analyzing — menganalisis email headers.
- Recovering — memulihkan email yang terhapus.
Memahami Bagian-bagian Email Message
Sebelum masuk ke investigasi, penting memahami dulu struktur sebuah email. Email message adalah pesan teks yang dikirim/diterima lewat jaringan, bisa disertai attachments (gambar, spreadsheet, dll) dan dikirim ke beberapa penerima sekaligus.
Formatnya diatur standar: RFC 5322 mendefinisikan format Internet email message, dan RFC 2045–2049 mendefinisikan attachment multimedia — keduanya disebut MIME (Multi-Purpose Internet Mail Extensions).
Sebuah email terdiri atas 5 bagian utama:
1. Message Header
Bagian yang memuat metadata pengirim, penerima, dan info teknis. Field-field pentingnya:
| Field | Fungsi |
|---|---|
| To | Kepada siapa pesan ditujukan. Catatan: "To" tidak selalu berisi alamat penerima sebenarnya. |
| Cc | Carbon copy — penerima tambahan di luar "To". Bedanya dengan "To" lebih bersifat konotatif. |
| Bcc | Blind carbon copy — salinan ke orang lain tanpa muncul di header. Populer di kalangan spammer karena membingungkan penerima. |
| From | Menentukan pengirim (sender) pesan. |
| Reply-To | Alamat tujuan balasan. Banyak kegunaan sah, tapi juga dipakai spammer untuk mengelak/mengumpulkan respons. |
| Message-ID | Identifier unik tiap email untuk keperluan tracking. |
| Sender | Jarang muncul (biasanya diganti "X-Sender"). Mengidentifikasi pengirim sebenarnya. |
| Subject | Field bebas (free-form) untuk mendeskripsikan subjek pesan. |
| Date | Tanggal pembuatan & pengiriman. Bisa ditambah server jika dihilangkan pengirim. |
| MIME-Version | Versi protokol MIME yang dipakai. |
| Priority | Prioritas email (free-form). Sering diabaikan software; kerap dipakai spammer agar pesan dibaca. |
| Received | Log setiap server yang dilalui email — kunci utama tracing. |
| Content-Type | Format email (plain text, HTML, dll). |
| Attachments | Referensi ke file yang dilampirkan pada email. |
2. Message Body
Pesan utama email — berisi teks, gambar, hyperlink, dan data lain. Attachments bisa muncul sejajar (in line) dengan teks. Standar Internet email tidak membatasi ukuran body, tapi tiap mail server punya message size limit sendiri.
3. Attachments
File yang dikirim bersama email (dokumen, gambar, audio, video, dll). Secara teknis bukan bagian dari body — file di-encode saat dikirim lalu di-decode saat diterima.
4. Signature
Informasi tambahan di akhir email berisi nama & detail kontak pengirim. Bisa berupa plain text atau gambar.
5. Headers for Security
Header SPF, DKIM, dan DMARC dipakai untuk mengautentikasi pengirim dan memastikan email tidak dimanipulasi (tampered) saat transit. Sangat kritikal untuk perlindungan terhadap spam & phishing.
Untuk melakukan on-site examination terhadap komputer & email server, investigator wajib memiliki search warrant dalam bahasa sesuai yurisdiksi. Warrant inilah yang memberi izin pemeriksaan.
Yang harus dilakukan
- Sita semua komputer & email account yang dicurigai terlibat dalam kejahatan.
- Untuk menguasai email account, ubah password-nya — bisa dengan meminta password ke korban, atau mengambil langsung dari mail server. Tujuannya agar suspect tidak bisa masuk dan menghapus/mengubah bukti.
Kasus korporat
Jika korbannya sebuah organisasi, investigator harus meminta izin ke pihak berwenang di sana dan bekerja sama dengan network & system administrator internal — agar memahami kebijakan mereka dan tidak melanggar aturan data safety perusahaan.
Setelah perangkat disita, langkah berikutnya adalah acquire (menyalin/mengambil) data email untuk dianalisis. Metode akuisisi tergantung cara suspect mengakses email:
- Desktop-based email client (Outlook, Thunderbird, Apple Mail) — bukti utamanya ada di local folders & archived files di mesin lokal.
- Web-based email — suspect akses via browser (webmail); metode akuisisinya berbeda.
Akuisisi email adalah tugas sensitif — harus seimbang antara kemampuan teknis, pemahaman hukum, dan etika. Untuk desktop client: lokasikan local folders, ekstrak pesan dengan forensic tool yang tepat, lalu simpan copy di lokasi aman.
Local Email Files — Microsoft Outlook
Saat email account di-sync ke Outlook desktop, dibuat copy lokal semua folder email dalam dua format:
PST — Personal Storage Table
- Umumnya dipakai akun POP3. Semua data (email, contact, calendar, task) di-download dari mail server & disimpan lokal.
- Di Outlook 2013 & sebelumnya, PST juga dipakai untuk IMAP. Namun sejak Outlook 2016, IMAP pindah ke format .ost.
OST — Offline Storage Table
- Dipakai akun Outlook.com, Office 365, Microsoft Exchange, dan IMAP.
- Fungsinya: menyalin semua komponen mailbox agar bisa diakses offline. Saat koneksi kembali, isinya di-sync ulang dengan server.
AutoArchive
Investigator juga bisa mengambil artifact dari archive — folder default Outlook untuk menyimpan email lama secara otomatis pada interval tertentu. File archive disimpan dalam format .pst. Cara mencari lokasinya (butuh credential suspect):
File → Options → Advanced → AutoArchive SettingsPerhatikan path pada "Move old items to:" yang menunjukkan lokasi archive.
Local Email Files — Mozilla Thunderbird
Saat user mengonfigurasi akun email di Thunderbird, dibuat folder Profiles di:
C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\ProfilesKonvensi penamaan profile: <8 random digits>.<profile_name>. Bisa ada banyak profile tergantung penggunaan.
Struktur subfolder penting
- ImapMail → menyimpan profil mail akun IMAP.
- Mail → menyimpan mail POP3 & local folders lainnya.
Format penyimpanan pesan
- Semua pesan disimpan sebagai file MBOX (tanpa ekstensi). Contoh: isi folder Inbox tersimpan di file bernama
INBOX. - File .msf dengan nama sama → menyimpan index mail (bukan isi pesan).
- .sbd folder → menyimpan index & pesan dalam format MBOX + MSF. Namanya mengikuti jenis akun, mis.
Gmail.sbd. Berisi pesan dari semua email folder satu akun (Important, Sent Mail, Trash, folder buatan user).
Local Folders
Jika user ingin offload email dari server (untuk hemat storage), pesan bisa dipindahkan ke Local Folder:
C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles\<Profile>\MailDi dalamnya ada dua folder default:
- Trash → sering dipakai sebagai folder "Archive" untuk menyimpan email lokal.
- Unsent Messages → menyimpan isi folder Outbox / pesan yang didraft tapi belum terkirim.
Untuk akun POP3, semua pesan baru otomatis di-download & disimpan ke local folders, lalu diambil dari server.
Archive folder (khusus IMAP)
User IMAP bisa membuat folder "Archive" untuk backup lokal email penting. Lokasi default (user bisa menyimpan di lokasi lain):
C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles\<profile>\Mail\Local FoldersCara cek lokasinya (pakai credential suspect):
Settings → Account Settings → Copies and Folders → Message ArchivesTool Akuisisi
SysTools MailPro+ — untuk Thunderbird & PST
Forensic tool yang bisa load data dari banyak file email sekaligus, preview multi-mode, analyze, & export ke berbagai format. Punya general & Wildcard search, bisa load file corrupt, dan recover deleted data. Mendukung Thunderbird, Outlook, Apple Mail, Exchange Server, dll.
Alur: Add Evidence → Select (pilih Mozilla Thunderbird / MBOX / Outlook) → pilih file/folder → retrieve pesan. Per email bisa dilihat: MESSAGE HEADER (kunci trace), HTML (body + link), ATTACHMENT (nama & isi lampiran), plus MIME/RTF/PROPERTIES. Pilih email yang punya evidentiary value → klik Export.
Kernel for OST to PST — konversi .ost → .pst
Convert OST ke PST/EML/MSG/Office 365/Exchange. Alur: Select File (pilih .ost) → tampil struktur mailbox → pilih Saving Path → pilih Saving Preferences → Finish.
Ringkasan tool per skenario
| Skenario | Tool | Output |
|---|---|---|
| Thunderbird local files | SysTools MailPro+ | Export multi-format, recover deleted |
Outlook .ost | Kernel for OST to PST | .pst (opsi include/exclude deleted) |
Outlook .pst | SysTools MailPro+ | Export + report CSV |
| Gmail webmail | Google Takeout / sync POP3-IMAP | mbox / copy lokal |
Akuisisi Web-based Email
Syarat mutlak: investigator harus punya credential suspect. Dua metode:
- Google Takeout — generate offline archive Gmail dalam format mbox.
- Sync ke email client (Outlook/Thunderbird) via POP3/IMAP untuk membuat copy lokal, lalu akuisisi dengan forensic tool.
Setelah email diakuisisi, investigator harus teliti memeriksa 4 area berikut — relevan langsung untuk deteksi phishing:
| Area | Yang diperiksa & red flag |
|---|---|
| Subject | Spoofed email dirancang menciptakan rasa panik/urgency supaya korban buru-buru membuka pesan. |
| Sender Email Address | Email mengatasnamakan bank tapi memakai akun Gmail alih-alih domain resmi → indikator kuat spoofing. |
| Email Body | Sering berisi direct link/hyperlink pemancing data sensitif; bahasa/kalimat berantakan, tidak profesional. |
| Email Attachment | Ekstensi berbahaya: .exe, .vbs, .js, .wsf, .zip — bisa mengeksekusi spyware/malware tersembunyi. |
Email header adalah komponen vital untuk trace origin email. Header memberi info sender & recipient lewat field "From" dan "To".
Konsep kunci: header juga menyimpan path yang dilalui email saat transit. Setiap MTA (Mail Transfer Agent) yang menerima email menambah/mengubah bagian header. Karena itu investigator memeriksa header untuk memperoleh data evidentiary dan trace perpetrator.
Header bisa di-retrieve dari email mana pun setelah akuisisi. Jika ada akses fisik ke sistem suspect, bisa dipakai email program yang sama. Prosedur retrieve header berbeda tiap program — berikut langkah lengkapnya per platform.
Microsoft Outlook (desktop)
- Launch Microsoft Outlook.
- Double-click email yang mau diambil headernya.
- Klik File (kiri atas) → ikon Properties.
- Di window Properties, ambil teks dari box Internet headers.
- Copy-paste ke text editor, lalu save.
Outlook.live.com (web)
- Login ke outlook.live.com.
- Klik email target.
- Klik ( ⋯ ) di kanan atas → View → View message source.
- Ambil teks dari box Message source, copy-paste ke editor, save.
AOL Mail
- Login AOL, right-click email target.
- Klik ⋯More dari top menu → View raw message.
- Ambil header text, copy-paste ke editor, save.
Apple Mail
- Launch Apple Mail, pilih email.
- View → Message → All Headers.
- Untuk kembali ke tampilan ringkas: View → Message → Default Headers.
- Copy-paste ke editor, save.
Gmail
- Login Gmail, pilih email.
- Klik More (⋮) di sebelah tombol Reply → Show original.
- Header lengkap terbuka di window baru → copy-paste, save.
Yahoo Mail
- Login Yahoo Mail, pilih email.
- Klik More (⋮) → View raw message.
- Copy-paste header text, save.
Ringkasan cepat (cheat sheet)
| Platform | Menu | Label |
|---|---|---|
| Outlook desktop | File → Properties | Internet headers |
| Outlook.live.com | ⋯ → View | View message source |
| AOL Mail | ⋯More | View raw message |
| Apple Mail | View → Message | All Headers |
| Gmail | ⋮ (More) | Show original |
| Yahoo Mail | ⋮ (More) | View raw message |
Header menyimpan metadata email. Ada 10 komponen yang dianalisis:
| # | Komponen | Keterangan |
|---|---|---|
| 1 | Timestamp | Tanggal & waktu email dikirim. |
| 2 | From | Sender's email ID di sisi recipient. Bisa dipalsukan (forged) — jangan langsung dipercaya. |
| 3 | To | Recipient's email ID. |
| 4 | Message ID | ID unik tiap email. Sebelum @ = timestamp; setelah @ = FQDN domain pengirim. |
| 5 | Subject | Subject apa adanya dari sender. |
| 6 | MIME | Memungkinkan email membawa media (audio, video, image). |
MIME Headers
| Header | Fungsi |
|---|---|
| MIME-Version | Tanda pesan MIME-formatted (default 1.0). |
| Content-Type | Text/plain, image/jpeg, video/mp4, Multipart/signature (ada signature), Multipart/mixed (teks + attachment). |
| Content-Disposition | Cara menampilkan pesan/body part. |
| Content-Transfer-Encoding | Encoding isi pesan. |
| Content-Description | Info tambahan opsional soal konten. |
Multipart/mixed = ada attachment → jadikan titik perhatian untuk analisis malware.
7. Received Headers ★ (jantung tracing)
Berisi detail semua mail server yang dilewati email saat transit; ditambahkan setiap kali email melewati SMTP server/MTA. Investigator mulai memeriksa dari sini karena mencerminkan info mail server pengirim.
8. Return-Path
Alamat tujuan bounce — kemana email dikembalikan jika gagal sampai. Red flag: jika Return-Path ≠ sender's email address (From), ini indikator spamming/spoofing.
9. Received-SPF (Sender Policy Framework)
SPF mencegah sender address forgery. Organisasi mendaftarkan server yang boleh mengirim atas nama domain via SPF record di DNS.
| Hasil SPF | Arti |
|---|---|
| None | Tidak ada SPF record untuk domain. |
| Neutral | IP tidak di-authorize maupun di-restrict (diperlakukan seperti None). |
| Pass ✓ | IP sender di-authorize. |
| Fail / Hard fail | Ditolak, IP tidak authorized. Ditandai -all. |
| Softfail | Kemungkinan tidak authorized. Ditandai ~all, biasanya ditandai spam/junk. |
# Hard fail - hanya IP ini yang boleh kirim, sisanya ditolak v=spf1 ip4:207.84.200.37 -all # Softfail - server tak terdaftar tetap dikirim, tapi ditandai spam/junk v=spf1 include:modprod.outlook.com ~all
10. DKIM Signature (DomainKeys Identified Mail)
Metode autentikasi yang melindungi dari phishing/spoofing/spamming pakai public key cryptography. Memverifikasi email dikirim dari mail server legitimate & isinya tidak diubah saat transit. Server penerima memvalidasi signature dengan public key di DNS; jika dua hash cocok → email authentic & unaltered.
| Field | Arti |
|---|---|
v=1 | Versi DKIM. |
a=rsa-sha256 | Algoritma hash (rsa-sha1 & rsa-sha256 = dua yang resmi). |
c=relaxed/relaxed | Canonicalization. Sebelum / untuk header, sesudahnya untuk body. |
d=gmail.com | Domain email sender. |
s=20161025pm | Selector untuk identifikasi public DKIM key. |
bh=... | Hash value body (Base64). |
b=... | DKIM signature berdasar field di h=. |
3 Pilar Deteksi Spoofing
| Pilar | Cek | Fail = red flag |
|---|---|---|
| SPF | IP sender authorized kirim atas nama domain? | fail/softfail → IP tak sah |
| DKIM | Signature valid & body tidak diubah? | fail → email dimodifikasi/palsu |
| DMARC | Policy gabungan SPF+DKIM (mis. p=QUARANTINE) | fail → tindakan sesuai policy |
X-Headers
Header nonstandard yang bisa dikustomisasi, umumnya disisipkan mailbox provider untuk spam filter & authentication results. Selalu diawali huruf "X". Bisa mengungkap info yang dieksploitasi untuk phishing (software version, internal IP).
| X-Header | Info yang diungkap |
|---|---|
| X-Originating-IP | IP asal mail/sender — sulit dipalsukan ✓ |
| X-Mailer | Email client yang dipakai — mudah di-spoof ⚠ |
| X-Apparently-To | Muncul saat email dikirim ke banyak recipient/mailing list. |
| X-Sieve | Nama & versi sistem filtering. |
| X-Delivered-To | Alamat mailbox tujuan pengiriman server. |
| X-Spam-Status / X-Spam-Score | Status/skor spam dari filtering software. |
| X-Virus-Scanned | Apakah & oleh AV apa email di-scan. |
Checking Email Authenticity
Untuk memverifikasi keaslian alamat email mencurigakan:
- Email Dossier (centralops.net) — cek validitas, tampilkan MX records, memulai SMTP session untuk cek address acceptance tanpa benar-benar mengirim email.
- Hunter's Email Verifier (hunter.io) — validasi email korporat, multilevel validation, cek keberadaan email di web publik.
- Tool lain: emailhippo.com, email-checker.net, zerobounce.net, verifalia.com, lead.clearout.io.
Examining Originating IP (WHOIS)
Identifikasi IP mail server asal untuk melacak attacker dengan WHOIS Lookup (whois.domaintools.com):
- Buka email → temukan header.
- Ambil sender IP dari Received header.
- Masukkan IP ke WHOIS Lookup search box.
- Cari alamat geografis sender + contact abuse untuk pelaporan resmi.
Tracing Email Origin
Setelah verifikasi header, investigator dapat mengajukan court order (via law enforcement) untuk memperoleh log files server → menentukan sender → tindakan hukum.
Registry sites untuk menentukan email origin
| Registry | Wilayah |
|---|---|
| ARIN (arin.net) | Amerika Utara — domain name dari IP + point of contact. |
| AFRINIC (afrinic.net) | Afrika |
| APNIC (apnic.net) | Asia Pasifik |
| RIPE (ripe.net) | Eropa |
| LACNIC (lacnic.net) | Amerika Latin & Karibia |
Tracing back web-based email
Webmail (Gmail, Outlook, ProtonMail) lebih sulit ditrace karena bisa diakses dari mana pun & tidak butuh info autentik saat registrasi. Namun provider menyimpan IP setiap mesin yang mengakses layanan — setelah autentikasi IP, investigator kontak provider untuk info sender.
Tools: IP2LOCATION Email Header Tracer (ip2location.com), Social Catfish, EmailSherlock, Google Admin Toolbox, Email Header Analyzer (dnschecker.org), MxToolbox.
Alur investigasi origin
Header → ambil sender IP (Received / X-Originating-IP)
→ WHOIS Lookup (domaintools) → Organization + abuse contact
→ Regional registry (ARIN/APNIC/RIPE/dll) → point of contact
→ [jika perlu legal] Court order → server logs → identitas sender
Ini konsep pengikat yang paling sering terlewat. Step 5 sudah mengecek SPF/DKIM/DMARC, tapi ada jebakan besar: SPF pass belum tentu alamat From yang kelihatan itu asli.
Ada DUA alamat "From" di satu email
| Identifier | Keterangan |
|---|---|
| RFC 5321 MAIL FROM (envelope sender) | Dipakai saat SMTP handshake, tercermin di header Return-Path. Inilah yang di-cek oleh SPF. Normalnya tidak dilihat user biasa. |
| RFC 5322 From: (header From) | Yang tampil di email client yang dilihat korban. Bisa diisi apa saja oleh pengirim. |
MAIL FROM), BUKAN From: yang kelihatan. Attacker bisa kirim dari domain yang dia kontrol (SPF pass untuk domain itu) sambil menaruh From: ceo@bank.co.id. Hasilnya: SPF = pass, tapi From tetap palsu.
DMARC perekat yang menutup celah
DMARC menuntut alignment: domain yang lolos autentikasi (SPF-authenticated MAIL FROM atau DKIM d=) harus cocok dengan domain di From:. Kalau tidak align → DMARC fail.
| Jenis alignment | Syarat cocok |
|---|---|
| SPF alignment | Domain MAIL FROM = domain From. |
| DKIM alignment | Domain d= = domain From. |
| relaxed | Cukup cocok di organizational domain (mail.bank.co.id ≈ bank.co.id). |
| strict | Harus persis sama. |
DMARC pass = (SPF pass & aligned) ATAU (DKIM pass & aligned). Aksinya ditentukan policy:
| Policy | Efek |
|---|---|
p=none | Monitor saja, email tetap masuk. Umum saat tahap rollout. |
p=quarantine | Diarahkan ke junk/spam. |
p=reject | Ditolak total oleh server penerima. |
Authentication-Results header yang benar-benar kamu baca
Di lapangan, analyst tidak me-run ulang SPF/DKIM manual. Yang dibaca adalah header Authentication-Results yang sudah distempel MTA penerima:
# Kasus normal (email sah) semua aligned
Authentication-Results: mx.google.com;
spf=pass smtp.mailfrom=bounce@bank.co.id;
dkim=pass header.d=bank.co.id;
dmarc=pass header.from=bank.co.id
# SPOOFING yang lolos SPF perhatikan tiga baris ini Authentication-Results: mx.corp.example; spf=pass smtp.mailfrom=blast@mailer-evil.com <- SPF pass, tapi ke domain ATTACKER dkim=none; dmarc=fail header.from=bank.co.id <- From beda → DMARC FAIL
compauth (composite authentication). Untuk email yang lewat mailing-list / forwarder (SPF & DKIM sering break), cek ARC (Authenticated Received Chain) ARC-Authentication-Results menyimpan hasil auth asli sebelum email di-forward.
From ≠ Return-Path + dmarc=fail = indikator spoofing kuat. Jangan pernah menyimpulkan "aman" hanya karena spf=pass selalu cek dmarc dan header.from.
Enam langkah di atas berfokus ke desktop client + header. Tapi mayoritas email crime hari ini adalah BEC (Business Email Compromise) / account takeover di mailbox cloud (Microsoft 365, Google Workspace). Artefaknya bukan di PST lokal, melainkan di log server.
Pola serangan BEC
- Account takeover via phishing → attacker login ke mailbox yang sah.
- Pasang inbox rule diam-diam: auto-forward ke domain luar, atau auto-delete balasan agar korban tidak sadar.
- Thread hijacking: membalas thread asli untuk mengalihkan pembayaran (invoice/payment fraud).
- Memakai look-alike domain untuk impersonasi partner/vendor.
Look-alike & display-name spoofing
| Teknik | Contoh |
|---|---|
| Display-name spoof | From: "Direktur Keuangan" <random123@gmail.com> nama tampil meyakinkan, alamat asli free-mail. |
| Typosquatting | bank.co.id → bank-co.id / bankco.id / bamk.co.id |
| Homoglyph / IDN homograph | Huruf mirip (Cyrillic а menyaru "a"); muncul sebagai punycode xn--... di header. |
| Combosquat / subdomain | login.bank.secure-verify[.]com domain inti bukan "bank". |
Artefak forensik Microsoft 365 / Exchange Online
| Artefak | Nilai forensik |
|---|---|
| Unified Audit Log (Purview) | Search-UnifiedAuditLog aktivitas mailbox & admin, login, consent app. |
| Message Trace | Get-MessageTrace / historical search jejak email masuk/keluar (kapan, dari/ke mana). |
| MailItemsAccessed | Audit action krusial BEC item mail mana yang dibuka attacker (scoping data exposure). |
| Inbox / Transport rules | Get-InboxRule, Get-TransportRule rule jahat (forward/delete) = persistence. |
| Mail forwarding | ForwardingSmtpAddress, DeliverToMailboxAndForward auto-forward ke luar. |
| OAuth app consent | App pihak-ketiga yang diberi izin (illicit consent grant) = persistence tanpa password. |
| Entra ID sign-in logs | Impossible travel, IP asing, legacy auth. |
# Cari inbox rule jahat (forward/delete) indikator klasik BEC Get-InboxRule -Mailbox korban@corp.example | fl Name,Enabled,ForwardTo,ForwardAsAttachmentTo,DeleteMessage,MoveToFolder # Auto-forward tersembunyi di level mailbox Get-Mailbox korban@corp.example | fl ForwardingSmtpAddress,DeliverToMailboxAndForward # Jejak pesan 10 hari terakhir Get-MessageTrace -RecipientAddress korban@corp.example ` -StartDate (Get-Date).AddDays(-10) -EndDate (Get-Date) # Audit log: akses mailbox & perubahan rule mencurigakan Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date) ` -UserIds korban@corp.example ` -Operations MailItemsAccessed,New-InboxRule,UpdateInboxRules,Set-Mailbox
Artefak forensik Google Workspace
| Artefak | Nilai forensik |
|---|---|
| Login audit log | Admin console → Reporting → Audit → Login: IP, waktu, device, suspicious login. |
| Email Log Search (ELS) | Trace pengiriman/penerimaan pesan di level Workspace. |
| Admin / Drive audit | Perubahan konfigurasi & akses data. |
| Google Vault | Legal hold & eDiscovery pesan (termasuk yang dihapus, bila hold aktif). |
| OAuth / 3rd-party app access | Review token app yang punya akses Gmail revoke bila jahat. |
MailItemsAccessed untuk cakupan data, (3) sign-in log impossible travel, (4) OAuth consent grant. Empat ini menjawab dua pertanyaan inti: "attacker masih punya akses?" dan "data apa yang bocor?"
Konsep inti: "deleted" ≠ hilang permanen — biasanya cuma pindah folder atau masuk unallocated space.
Outlook PST
- Email dihapus → pindah ke Deleted Items, bertahan 14 hari (default, bisa diubah) → auto-delete.
- Setelah itu → invisible bagi user, tapi tidak benar-benar terhapus — pindah ke unallocated space.
- Bisa di-recover selama belum overwritten. Tools: Autopsy, Paraben's E3.
Thunderbird
- Email dihapus disimpan di folder Trash sampai di-clear.
- Autopsy & Paraben's E3 bisa recover — tergantung seberapa cepat dilakukan. Jika Local Trash ikut dihapus, complete recovery masih mungkin.
Gmail
Email dihapus → pindah ke Trash (bukan langsung hilang) sampai di-clear. Recovery: Trash → pilih email → ikon Move → pilih lokasi tujuan.
Outlook — dua kategori penghapusan
| Kategori | Trigger | Efek |
|---|---|---|
| Soft deletion | Delete biasa (Inbox/Drafts/Sent) | Pindah ke Deleted Items. |
| Hard deletion | Shift+Delete | Dihapus permanen dari mailbox. |
Recovery Outlook: HOME → Recover Deleted Items From Server → pilih email → Restore Selected Items → OK.
Email Recovery Tools
- EaseUS Email Recovery Wizard — recover email hilang + repair PST corrupt, bisa preview sebelum recovery.
- Stellar Undelete Email, SysTools Outlook Recovery, Kernel for Outlook PST Repair, Recover My Email, Recovery Toolbox for Outlook.
Abstract menyebut bukti harus admissible ini cara mengoperasionalkannya supaya bukti bertahan di pengadilan, bukan sekadar "simpan copy di lokasi aman".
Jaga integritas bukti
- Kerja di COPY; original disimpan read-only / write-blocked.
- Hash sebelum & sesudah akuisisi, catat nilainya. Hash sama = integritas terbukti.
- Semua timestamp dicatat dalam UTC untuk menghindari kekacauan zona waktu.
- Dokumentasikan: siapa (collector), apa (source), kapan, di mana, pakai tool + versi berapa.
# Hitung & simpan hash bukti (Linux) sha256sum evidence.pst evidence.ost > evidence_hashes.txt # Windows PowerShell Get-FileHash .\evidence.pst -Algorithm SHA256
Chain of Custody (CoC) minimal yang dicatat
| Elemen | Isi |
|---|---|
| Identifikasi | ID bukti, deskripsi, hash, source device. |
| Kolektor | Nama, jabatan, tanggal/jam (UTC). |
| Tool | Nama + versi, metode akuisisi. |
| Transfer | Tiap perpindahan tangan dicatat (dari → ke, waktu, alasan). |
Membaca Received chain (dengan benar)
Aturan emas "baca bawah ke atas, bawah = origin" itu benar TAPI setengah cerita. Kuncinya konsep trust boundary.
Received: from mx.corp.example (mx.corp.example [10.0.0.5]) <- ditambah server LU (tepercaya) by mbox.corp.example with ESMTPS id 4abc; Tue, 01 Jul 2025 09:14:05 +0000 (UTC) Received: from mail.evil.example ([203.0.113.66]) <- IP asli yg NYAMBUNG ke server lu = ANCHOR by mx.corp.example with ESMTP id 4xyz; Tue, 01 Jul 2025 09:14:02 +0000 (UTC) Received: from trusted-partner.com ([192.0.2.9]) <- DI BAWAH boundary = bisa DIPALSUKAN by mail.evil.example ...
Date header vs Received paling atas selisih jauh = red flag. (3) FQDN setelah @ di Message-ID resolve & cocok dengan domain sender?
CAN-SPAM = Controlling the Assault of Non-Solicited Pornography and Marketing Act. UU AS yang mengatur pengiriman email komersial, memberi recipient hak opt-out, dan menjabarkan penalti.
Syarat utama untuk sender
- Tidak menggunakan header information palsu/menyesatkan.
- Tidak menggunakan subject line yang menipu.
- Email komersial harus diidentifikasi sebagai iklan (ad).
- Mencantumkan alamat fisik pos yang valid.
- Memuat info cara berhenti berlangganan (opt-out).
- Menghormati opt-out dalam 10 hari kerja.
- Baik pemilik produk maupun emailer yang dikontrak, keduanya wajib patuh.
Penalties
Denda hingga $50,120 per email. Pelanggaran tertentu dapat dikenai denda tambahan + pidana & penjara, antara lain:
- Mengakses komputer orang lain untuk kirim spam tanpa izin.
- Menggunakan info palsu untuk register banyak akun email/domain.
- Relaying spam massal untuk menyesatkan asal pesan.
- Harvesting alamat email / dictionary attack.
- Memanfaatkan open relay / open proxy tanpa izin.
