Un correo electrónico esta comprendido dentro de la evidencia digital y es una de las evidencias más comunes que existen hoy por hoy.
Las técnicas utilizadas en informática forense son necesarias para investigar si un correo ha sido recibido o enviado y si este ha sido o no alterado en el contenido o en los adjuntos que posee a su vez también se investiga que no exista suplantación de identidad, todas estas tareas son realizadas por un perito informático habilitado. Este es capaz de determinar si alguien ha entrado en la cuenta de correo, y desde dónde se realizo ese ingreso. También se ocupa de realizar el análisis forense con herramientas certificadas para corroborar si la casilla de correo está siendo visto por personas externas o bien si los correos electrónicos se encuentran redireccionados a otras casillas lo que encuadra en un atentado contra la intimidad.
La autenticación de intercambio de correos electrónicos es un servicio indispensable cuando haya que presentar un correo electrónico como prueba principal en un litigio judicial. Cuando se presenta por la otra parte un informe pericial informático de un email, la única prueba que puede tener para defenderse ante él, es la realización de un informe pericial informático de parte que valide los correos y a su vez prócer al resguardo de la evidencia digital de tipo correo electrónico.
La autenticación del correo electrónico incluye la comprobación de las evidencias digitales sobre la NO manipulación de un email y la NO suplantación de identidad. Esto es lo más importante a la hora de realizar un informe pericial informático. En algunos casos los peritos pueden realizar el análisis de la eliminación de un email y proceder a la recuperación de estos correos.
Las cabeceras o headers de un correo electrónico indican las trazas y servidores por los que ha pasado, es decir, la ruta que posee un correo electrónico de servidor a servidor, donde también se muestra si existe un adjunto asociado o ha existido. Por otro lado, también es posible peritar un un adjunto que se encuentre dentro de un correo electrónico, lo que implica saber si existe o ha existido el adjunto. Esto se hace porque se pueden borrar adjuntos manteniendo el contenido original. Los adjuntos pueden ser imprescindibles para la causa en cuestión. De ahí la importancia de saber que ha existido tal adjunto, aunque no se pueda recuperar en algunos casos. Por otro lado también es de suma importancia realizar el análisis de los metadatos de los archivos adjuntos para corroborar su validez.-
Lo que tiene que ver con la recuperación de correos borrados, hay servicios de correos que permiten la recuperación de mensajes íntegros de correos hasta pasado un tiempo. Cuando se estudian las copias forenses de discos rígidos donde se almacenan las copias de bases de datos de correo electrónico de outlook, thunderbird, u otros servidores, se pueden encontrar archivos puros que pueden ser procesados, donde se encuentran los los correos electrónicos eliminados. Cuando los servicios son en la nube y se han borrado, el estudio de la copia forense del disco rígido puede dar como resultado que se encuentre ese adjunto que ha sido descargado y leído en ese equipo informático y luego se ha borrado el correo o el adjunto de manera deliberada tambien se puede localizar el correo electrónico, con lo que se puede establecer una conclusión en el informe pericial informático sobre que haya existido el correo, el adjunto, que se ha leído y que ha sido borrado, lo que puede servirle al letrdo como prueba para el litigio judicial con total seguridad.
