E-Mails bestehen nicht nur aus dem sichtbaren Text, sondern beinhalten Meta-Daten, die u. a. Auskunft über das verwendete Mail-Programm des Senders und den Weg der E-Mail enthalten können. Achtung: diese Informationen können zum Teil bewusst verfälscht werden!

In einem Fall waren Rechnungen eines Unternehmens, dass seinen Sitz nach Berlin verlegt haben sollte, von dynamischen IP-Adressen aus versandt worden, die nach der hierarischen Struktur des Internet Providers in den Raum München gehörten. Das war ein Indiz, um die Sitzverlegung und die damit einhergehende Abberufung des alten Geschäftsführers in Frage zu stellen.

Die Protokollierung des E-Mail-Wegs kann man sich – auf einen Brief übertragen – folgendermaßen vorstellen: der Absender übergibt den Brief an den für ihn zuständigen Postboten, der auf dem Briefumschlag vermerkt, wann und von wem er den Brief erhalten hat. Wenn er den Brief an den übergeordneten Postdienst weitergibt, vermerkt dieser ebenfalls Zeitpunkt und Herkunft. Dies machen alle an der Übermittlung beteiligten Stellen, bis schließlich der Empfänger vermerkt, wann und von welchem Postboten er den Brief erhalten hat.

Wieder zurück zu den E-Mails: hier speichern die an der Kommunikation beteiligten Mail-Server einen Zeitstempel und die IP-Adresse der vorhergehenden Station. Der neueste Eintrag wird immer vorne vorangestellt, so dass man, um den Weg der E-Mail zu analysieren, von hinten zu lesen anfangen müsste. Das kann man manuell machen, doch es gibt dafür auch Computerprogramme bzw. Internetseiten. Eine solche Seite ist http://www.gaijin.at/olsmailheader.php, wo man die Kopfzeilen der E-Mail reinkopieren und dann analysieren lassen kann.