Genau wie ein Brief besitzt eine E-Mail einen Umschlag, den sogenannten "Simple Mail Transfer Envelope". Er dient dazu, dass die Mail beim richtigen Empfänger ankommt. Daneben enthält der Umschlag auch Angaben über den Absender. Beim Empfänger kommt er in der Regel nicht an, sondern wird beim Einsortieren in das Postfach entfernt. Die Absender-Adresse wird von den meisten E-Mail-Anbietern allerdings gespeichert, sodass über sie gefälschte oder Spam-E-Mails zurückverfolgt werden können. Mit etwas Aufwand könnte diese Adresse aber ebenfalls gefälscht werden.

Absender und Empfänger sind zwar auch im Briefkopf einer E-Mail, dem sogenannten Header, gespeichert, allerdings könne der Absender diese Angaben hier beliebig ändern, sagt Hochstein. Hier seien aber auch die Zwischenstationen aufgelistet, die die E-Mail auf ihrem Weg genommen hat. Sie ließen sich nicht so einfach fälschen, da sie von den jeweils beteiligten Mailservern eingetragen würden. Sie könnten somit also ebenfalls zur Rückverfolgung einer E-Mail genutzt werden. Cyber-Kriminelle versuchen das oft zu verhindern, indem sie erfundene Zwischenstationen einfügen, was die Suche erschwert. Zu finden sind die Zwischenstationen unter dem Eintrag "received". Da die jeweils letzte Station oben steht, kann der Weg der Mail von oben nach unten nachverfolgt werden. Dabei gibt es Indizien, die auf gefälschte E-Mails hindeuten: "Wenn im Header an anderer Stelle zusätzliche Received-Zeilen auftauchen, handelt es sich mit hoher Wahrscheinlichkeit um Fälschungen", sagt Hochstein. Sie seien dann vom Absender schon vor dem Versenden eingefügt worden.

Im Header können noch viele andere Informationen gespeichert sein, die dem Empfänger häufig nicht alle angezeigt werden. Neben Datum und Uhrzeit des Versands ist beispielsweise bei Firmen-E-Mails häufig das jeweilige Unternehmen angegeben. Falls die Mail an mehrere Empfänger gesendet wird, sind diese unter "CC" angegeben, verdeckte Kopien (BCC) werden nicht angezeigt. Außerdem enthält der Header die sogenannte Message-ID, eine Art Seriennummer der E-Mail. Auch diese Kennung sei allerdings leicht zu fälschen, so Hochstein.

Im eigentlichen Text von E-Mails, dem sogenannten Body, lauern auch Gefahren. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen Nutzer hier vor allem bei Links im Text vorsichtig sein. Sie könnten auf manipulierte Webseiten verweisen. Das BSI empfiehlt daher, nur Links aus absolut vertrauenswürdigen Quellen zu öffnen und sich im Zweifelsfall beim Absender zu vergewissern, ob die Mail tatsächlich von ihm kommt.

Die weitaus größere Gefahr für Nutzer geht allerdings von Dateien im Anhang von E-Mails aus. Laut BSI gelten nur die Dateiformate .gif und .jpeg als weitgehend harmlos. Alle anderen Dateien könnten potenziell Schadsoftware enthalten und dürften ebenfalls nur geöffnet werden, wenn der Absender zweifelsfrei seriös sei. "Besonders kritisch sind alle ausführbaren Programme (wie .com, .exe, .pif) oder Skript-Sprachen (.vbs, .js, .bat), Registrierungsdateien (.reg) sowie Bildschirmschoner (.scr)", sagt das BSI. Ebenfalls sehr gefährlich seien komprimierte Dateiformate wie .zip-Dateien. Diese könnten sich als sogenannte Mailbomben erweisen, die beim Auspacken sehr viele Unterverzeichnisse anlegen und damit die Festplatte blockieren könnten. "Archive, also mit Packprogrammen komprimierte Dateien, sollten niemals ohne vorhergehende Prüfung ausgepackt werden", so das BSI.