Gli header, a partire da quelli principali "From:" e "To:" possono essere taroccati.
Occorre sapere che il mail client prepara le righe di testo, header nonché messaggio, poi li passa al server SMTP.
Ed occorre, soprattutto, considerare che il mail client (che, appunto, mette anche gli header) è un programma in esecuzione sul PC del mittente.
Di conseguenza è sotto il completo controllo del mittente stesso, che sceglie il programma da adottare ed il modo di configurarlo.
Potrebbe anche farselo fare o farselo personalmente su misura.
Questo rende taroccabilissimi i campi "From:" e "To:" perché pure il campo "To:" non vale, non essendo in base al suo contenuto che viene determinata la destinazione del messaggio.
Peraltro gli spammer possono falsificare anche gli header "Received:", ma gli eventuali header che possono essere falsificati sono soltanto gli ultimi della catena.
In ogni caso lo spammer non è in grado di impedire che i PC che trasportano il messaggio dopo il suo mettano i propri received.
Di conseguenza, la catena di turno sarà corretta ed attendibile fino ad un certo punto.
Da quel punto in poi si potranno avere degli eventuali header falsificati, ovverosia costruiti in maniera tale da sembrare header veri appositamente piazzati allo scopo di confondere le idee.
Di norma il punto in esame è individuabile poiché c'è qualcosa che non quadra esaminando tutto con la dovuta attenzione.
Se si riescono ad interpretare correttamente gli header si arriva ad un indirizzo IP, che può essere sia quello dietro al quale c'è il mittente sia quello del server dietro al quale si nasconde.
Dall'IP si può determinare la rete di provenienza.
Tuttavia, tramite proxy, c'è la possibilità di mascherare gli IP di provenienza (pratica diventata sempre più comune sin dal 2001).
Gli spammer usano anche cavalli di Troia o troiani o trojan che dir si voglia.
Si tratta di programmi maliziosi che vengono eseguiti all'insaputa dell'utilizzatore del PC su cui, con l'inganno, è stato installato.
Di norma i trojan possono essere controllati remotamente, attraverso la Rete, da chi può ottenere il controllo del PC vittima.
Si è iniziato a parlare di troiani appositi per spammer nel 2003.
Una volta in funzione essi contattano via posta elettronica lo spammer informandolo dell'indirizzo IP sul quale sono attivi.
Dopodiché, connettendosi al troiano, lo spammer lo può utilizzare come se fosse un server e-mail.
A questo modo il computer dell'utente infettato (che è all'oscuro di tutto), diventa un punto origine di spam, finendo per nascondere l'autentico indirizzo dello spammer (lo spammato, che guarda gli header, trova l'indirizzo dell'utente il cui PC è stato infettato).
Da lì lo spammer può far partire gli "spam run", come vengono spesso denominati i cicli di invio fatti da uno spammer.
Anche per queste ragioni è bene non eseguire programmi sulla cui affidabilità non si è certi e fare uso di un valido ed aggiornato antivirus.