Content-Length header field sangat bermanfaat dalam forensik e-mail. Namun demikian pada pemanfaatan Content-Length header field pada forensik e-mail terdapat dua masalah utama yakni dimana sebagian besar pesan e-mail tidak memiliki Content-Length header field, serta mudahnya Content-Length header field untuk diubah, dengan demikian pada artikel ini akan dimanfaatkan hal lain yang lebih banyak digunakan dan relatif tidak dapat diubah yakni DomainKeys Identified Mail (DKIM). Sebagai artefak forensik, pesan e-mail harus tetap dalam format asli seperti pada antarmuka berbasis web dari masing-masing penyedia layanan e-mail (format Multipurpose Internet Mail Extensions/MIME). Terdapat dua metode yang harus digunakan terkait pemanfaatan DKIM pada forensik e-mail yakni kanonisasi dan verifikasi. Material yang dibutuhkan pada penelitian pada artikel ini yakni layanan e-mail populer (Gmail atau Yahoomail), perangkat guna mendapatkan pesan e-mail dalam format MIME yakni Forensik Email Collector dari Metaspike, serta perangkat verifikasi DKIM seperti Mail::DKIM::Verifier (berbasis Perl) atau dkimpy (berbasis Python). DKIM signatures memuat informasi yang sangat penting yakni cryptographic hash dari isi pesan serta subset dari header fields yang tertanda tangani oleh domain pengirim. Saat secara forensik dilakukan otentikasi terhadap pesan e-mail, sebuah DKIM-Signature header yang valid dan sebuah tanda tangan terverifikasi mengindikasikan bahwa isi pesan dan bagian tertanda tangani dari header pesan tidak diubah setelah entitas penanda tangan menghitung DKIM-Signature. Pemeriksa forensik harus memperhatikan DKIM signatures saat melakukan otentikasi terhadap e-mail. Kegagalan pada verifikasi DKIM harus diketahui sebabnya apakah karena kunci publik dari entitas penanda tangan tidak lagi tersedia pada rekaman Domain Name System (DNS) atau karena hashing yang tidak cocok.