Ovviamente, occorre innanzitutto esporre poco il proprio indirizzo di posta elettronica.
La maggior parte degli indirizzi di posta elettronica vengono raccolti tramite i siti.
In passato anche direttamente tramite i WHOIS (che danno informazioni relative a chi registra i domini dei siti), ora chi li gestisce rende quegli indirizzi non recuperabili se non manualmente, uno ad uno, il che li rende molto meno appetibili.
Gli altri indirizzi sono recuperati spesso tramite il fatto che il titolare del sito li mette sullo stesso senza taroccarli o, peggio, posta in siti (forum, blog od affini) che li mettono in chiaro.
E' bene taroccare gli indirizzi, come può essere il classico nomeutenteNOSPAM@yahoo.com precisando che il NOSPAM va tolto, ma il problema è che esistono programmi appositi per l'estrazione di indirizzi che eliminano le stringhe più comuni (come REMOVETHIS e NOSPAM), occorre quindi essere un minimo creativi.
Se si tratta di indirizzi da inserire in un sito è funzionale metterli come immagine e non in forma testuale, anche il javascript limita i danni sebbene ci siano robot che provano a leggerlo (hanno comunque difficoltà).
Classico, ed abbastanza efficiente, è questo codice (dove info e nomedominio.it vanno sostituiti con i dati del proprio indirizzo di posta elettronica):

Vanno bene anche i form purché fatti con linguaggi di scripting (come .asp e .php, per capirci).
E' vero che possono essere raccolti anche a mano, ma si tratta di casi sporadici, poiché lo spam massivo ha la necessità di venir effettuato con strumenti automatici.
Per questo la raccolta degli indirizzari viene effettuata con appositi programmi di scansione che funzionano in maniera analoga ai robot dei motori di ricerca.
Spesso sui form dei siti viene richiesto di mettere un indirizzo di posta elettronica come campo obbligatorio.
Non si può, generalmente, mettere indirizzi falsi perché all'indirizzo che viene messo possono essere spediti codici di registrazione e/o altre informazioni.
E' bene avere più indirizzi di posta elettronica tutelando il più possibile quello principale.

Anche se l'indirizzo non viene MAI reso pubblico, è comunque possibile ricevere spam.
Intanto gli spammer usano trojan impiantati su vari computer: questi troiani, oltre a permettere di usare quei PC come mailserver inviano pure agli spammer la rubrica di posta trovata sul computer infestato.
Di conseguenza, se un PC infettato da questi cavalli di Troia contiene in rubrica il vostro indirizzo esso finisce comunque nelle liste degli spammer.
Inoltre c'è un'altra tecnica per individuare indirizzi da spammare: semplicemente indovinarli.
Per questa finalità esistono i dictionary attack.
Ci si difende solo con indirizzi non eccessivamente brevi (anche se sarebbero più comodi) e non banali.