Anhänge von Outlook-Mails und von Exchange-Servern werden als Datei namens winmail.dat oder als MIME Anhang vom Typ "application/ms-tnef." versandt. Das Problem dabei ist, dass diese Anhänge nicht von allen E-Mailclients (Thunderbird, OSX-Mail, etc.) richtig interpretiert werden. Unter OSX können solche Anhänge einfach mit dem Programm TNEF's Enough geöffnet werden. Das Programm erlaubt das Extrahieren der eingebetteten Dateien auf die lokale Festplatte. Anschliessend muss man die extrahierte Datei nur noch mit dem korrekten Programm öffnen.

Wer genauer wissen will, kann den Anhang auch mit einem Hexeditor zurecht stutzten. Dazu muss der Anhang (z.B. winmail.dat) auf die lokale Festplatte kopiert werden. Anschliessend öffnet man diese mit einem Hexeditor. Geeignete Hexeditoren sind:

• HexEdit
• HexEditor
• 0xED

Die Datei winmail.dat fängt dabei immer gleich an. Im Header von winmail.dat steht da ab Offset 31 "IPM.Microsoft Mail.Note1".

Wenn wir nun ans Ende der Datei scrollen, sehen wir um was für einen Typ es sich handeln muss. image/jpeg steht für eine Bilddatei im jpg-Format und video/x-ms-wmv für ein Video im Windowsmediaformat. Nun, da wir wissen um was für einen Dateityp es sich handelt können wir mit dem Hexeditor nach dem Dateiheader suchen. Wir machen uns dabei den Umstand zu Nutze, dass jeder Dateityp einen ganz bestimmten Header hat. Ein JPG-Bild fängt zum Beispiel immer mit folgender Hexwert-Kombination an.

FF D8 FF E0 00 10 4A 46 49 46 (FFD8FFE000104A464946)

Wenn wir nun diesen Hexwert in der Datei winmail.dat suchen und finden, können wir alles was vor dem JPG-Header steht löschen und die Datei speichern. Jetzt muss die Dateiendung nur noch von .dat auf .jpg umbenannt werden und schon lässt sich diese wie gewohnt öffnen.