Protokollen for e-mail (SMTP) er gammel. Dette betyder også at sikkerhed ikke var en af de største bekymringer man havde, da man udviklede protokollen. Ved afsendelse af en e-mail dikterer protokollen således blot, at man fortæller hvem man er som afsender. Det vil sige at man kan angive navn og mail-adresse uden at der udføres validering. E-mailen kan således blot sendes til modtageren med en falsk afsender.
For at forhindre forfalskning (spoofing) af afsenderen anvendes i dag Sender Policy Framework (SPF). Dette er en standard som modtageren af beskeden kan bruge til at validere afsenderen. Groft sagt er SPF en DNS-whiteliste over servere, som har tilladelse til at sende beskederne. For at SPF virker, kræver det altså en aktiv indsats for ejeren af domænet, der sendes fra, samt at alle mailprogrammer implementerer dette tjek. Det er dog ikke alle, der gør det, hvorfor vi kan forfalske afsenderen forholdsvis nemt. Ønskes at modtage svar på en besked, kan Reply-To benyttes.
E-mail spoofing
Dette er et af flere værktøjerne, der udelukkende stilles til rådighed for demonstration. Derfor logges alle forespørgsler i systemet, ligesom der er en begrænsning på mængden, der kan udsendes.
