La realización de una prueba pericial que autentifique un correo electrónico contempla dos aspectos. Por un lado, la descarga por parte del perito de dicho correo electrónico desde el servidor de correo donde se encuentre alojado, comprobando la posibilidad de ser manipulado dicho servidor  y por otro lado, el análisis pormenorizado del mensaje original en formato original.

El primer aspecto, el del análisis del servidor de correo electrónico, contempla dos casos bien distintos:  cuando el correo electrónico está albergado en servidores a los que puede acceder y manipular la persona interesada y por otro lado tenemos el caso de los servidores como Gmail, Hotmail, Yahoo,… que no están en un lugar físico que permita la manipulación. En el primer caso se necesita hacer un análisis pormenorizado para poder determinar si ha habido manipulación, mientras que en el segundo caso se descarta esta posibilidad.

Para el análisis del email se necesita la obtención del mensaje original en formato digital, con el mensaje completo a analizar, descartando el análisis de copias impresas o reenvíos del mensaje. Esto es debido a que la parte más importante de la información a analizar está en la cabecera técnica del mismo y esta cabecera no aparece habitualmente en la visión que se le muestra a los usuarios de los correos electrónicos, ni en los emails impresos. Por otra parte cuando se reenvía un email las cabeceras que aparecen son las correspondientes al reenvío, no la del mensaje a analizar.

Lo primero que incluye la cabecera técnica, es el identificador del mensaje que tiene que estar compuesto por una serie de números y letras, el carácter @ y el nombre de dominio del servidor que realiza el envío.

El email completo incluye registros de actividad de los servidores de correo implicados en la transmisión del email a analizar, mostrando los elementos de red por los que se ha cursado el tráfico asociado a la transmisión del email a analizar o información sobre los ficheros adjuntos, de manera que la presencia de  incoherencias en esta información es la que probaría la manipulación de dicho email. En el tránsito entre el servidor de envío hasta el servidor de entrega, cada uno de los servidores por los que transita añaden una línea del tipo

Received: by xx1.xx1.xx1.xx1 with SMTP id t17ms8469566rvm.251.1758482398741; Fri, 07 Dec 2012 16:30:58 -0700 (PDT)

De este modo cada servidor de envío o de recepción va añadiendo en la parte superior del fichero una línea en la que especifica su dirección IP (una combinación de cuatro números de 0 a 255, separados por puntos, que lo identifica unívocamente en Internet, algo similar a su número de matrícula) o su equivalente nombre de dominio.

Por tanto el análisis pormenorizado de cada una de estas líneas nos permite saber el camino exacto que recorrió el mensaje, sabiendo la fecha y hora en que pasó por cada uno de estos ordenadores, habitualmente en el huso horario de donde esté físicamente alojado el ordenador. Esta fecha y hora, puede no ser real, ya que toma la hora local de cada uno de estos servidores, aunque habitualmente están en hora porque suelen configurarse sincronizándolos con servidores NTP (Network Time Protocol) que le proporcionan la fecha y hora real.

Otra línea que contiene la cabecera del mensaje y que nos proporciona información sobre la veracidad, es la correspondiente al protocolo SPF (Sender Policy Framework), una de las herramientas más utilizadas en la lucha contra el spam o correo basura. El SPF es un registro en el que cada propietario de dominio indica la dirección IP desde la que se realizarán los envíos de sus correos electrónicos. De este modo, si yo soy el poseedor del dominio ejemplo.com e indico en el registro SPF que la dirección de envío  de mi servidor SMTP es la dirección IP 99.99.99.99, un servidor de correo que reciba un correo con un remitente que se identifica con un email como loquesea@ejemplo.com, pero no proceda de la dirección IP 99.99.99.99 será catalogado como fraudulento o spam.

En el caso de que un email lleve ficheros adjuntos, también se indica en la cabecera. Se especifica el nombre del fichero, su codificación y el tipo de fichero MIME. En estos casos según el software del servidor de correo electrónico, podrán variar las líneas. Los propios ficheros adjuntos están incluidos en el mensaje original con una codificación especial.