Obecnie większość ataków odbywa się kanałem webowym, a poczta elektroniczna służy do rozsyłania spamu. Serwerów, które umożliwiają niekontrolowane przesyłanie poczty (open relay) praktycznie już nie ma. Spam wysyła się z botnetów przy bezpośrednim połączeniu do serwera poczty elektronicznej obsługującego docelową domenę. Ponieważ w protokole SMTP jedyną informacją, której nie można sfałszować jest adres IP, najważniejszym orężem w walce ze spamem jest ocena reputacji adresu IP. Filtracja na poziomie połączenia jest najbardziej niezawodną z metod i umożliwia odfiltrowanie 80-90% spamu.

Odcienie szarości czarnej listy

Do blokowania niepożądanej komunikacji służą czarne listy IP. Listy takie są utrzymywane od lat (początkowo były na nich tylko open relays oraz statyczne adresy IP znanych spamerów), ale w dobie wszechogarniającego spamu zyskały wiele opcji. Obecnie dzieli się je na następujące kategorie:

- adresy IP znanych spamerów

- adresy z dynamicznych pul przypisywanych użytkownikom końcowym

- adresy należące do ISP, który nie filtruje poczty wychodzącej.

Jedną z najbardziej restrykcyjnych list jest UCEPROTECT. Lista ta występuje w trzech poziomach, zależnie od oczekiwanej ochrony i trafiają tam nieraz całe klasy adresów.

Ze względu na skuteczność czarnych list, spamerzy zaczęli organizować ataki polegające na przejęciu co najmniej jednego konta pocztowego u operatora, który nie filtruje poczty wychodzącej. Oczywiście, powoduje to zablokowanie danego adresu po pewnym czasie, ale kampania spamowa zostaje zrealizowana. Zysk po stronie spamera to 2-3 godziny wysyłania spamu o wysokiej reputacji, koszt atakowanego to 2-3 miesiące usuwania adresów IP z list antyspamowych na całym świecie. Scenariusz ten zastosowano w praktyce wielokrotnie, najsławniejszym było przejęcie kilku kont u jednego z operatorów w Luksemburgu.