Spam obrazkowy generowany jest zazwyczaj w dwóch etapach. Pierwszy to konstrukcja wzorca, w którym tworzy się szablon obrazka z odpowiednią zawartością. Głównym celem jest wykorzystanie różnych metod (np. CAPTCHA) do zmylenia graficznych technik rozpoznawania spamu (np. OCR). W drugim etapie wykonuje się randomizację, w którym to procesie z szablonu generuje się dużą liczbę wariantów w celu oszukania technik antyspamowych opartych na sygnaturach. Wśród metod konstrukcji obrazów można wyodrębnić cztery główne: tekst prowadzony po linii falistej, trudny do rozpoznania przez systemy OCR; używanie animacji w formacie GIF; deformacja tekstu (różne fonty, pisane ręcznie, różne kolory); teksty pochylone pod pewnym kątem (rotacja) do linii horyzontalnej, także utrudniające stosowanie OCR.

Metody randomizacji mają za zadanie dodawanie losowych szumów do szablonowego obrazka w celu wygenerowania dużej liczby jego wariantów, trudnych do rozpoznania przez tradycyjne filtry oparte na sygnaturach. Metody te to m.in. horyzontalne lub wertykalne przesunięcie wzorcowego obrazka na płaszczyźnie; przycięcie wzorcowego obrazu w odniesieniu do kanwy obrazu; małe odchylenia w rozmiarach (wysokość, szerokość) wzorca; dodawanie losowych punktów lub ramki (o losowej grubości linii) do szablonu; używanie w tekście różnych krojów czcionek, różnej wielkości, kolorów tekstu, a także różnych kolorów liter w tekście. Ponadto dodawanie losowych bitów w metadanych lub na poziomie obrazu ma wpływ na binarną zawartość pliku, ale nie wprowadza różnić wizualnych do obrazu.

Spirala zbrojeń w walce ze spamem

W miarę pojawiania się nowych środków antyspamowych, spamerzy wymyślają nowe sztuczki pozwalające na ich obchodzenie i w związku z tym nasuwa się pytanie, czy skanowanie treści poczty elektronicznej nadal jeszcze można uważać za efektywną metodę wykrywania niepożądanych wiadomości? Nowe formy spamu obrazkowego to kolejny przykład pomysłowości spamerów w skutecznym obchodzeniu filtrów skanujących treść. Wielu specjalistów uważa, że jedynym skutecznym środkiem walki ze spamem jest rozpoznawanie źródła pochodzenia przesyłek pocztowych.

Budowanie filtrów dla każdego typu spamu jest mało efektywne i podejmowane są próby przechwytywania fundamentalnych właściwości spamu. Do tego można używać takich technik, jak analiza intencji i analiza reputacji URL - te elementy są niezmienne we wszystkich kampaniach spamowych.

Dostawcy rozwiązań antyspamowych wykorzystują zazwyczaj kilka technik do przechwytywania spamu, w tym takie, które opierają się na usługach reputacji przypisujących poszczególnym adresom IP "indeks spamu" w oparciu o wcześniejsze obserwacje przesyłek nadchodzących spod danego adresu. Trzeba jednak pamiętać, że żadna kombinacja technik nie jest szczelna, a spamerzy nie zrezygnują z prób wprowadzania nowych sposobów oszukiwania filtrów antyspamowych.

W ubiegłym roku znacząco wzrosło wykorzystanie botnetów do rozsyłania spamu, czyli sieci komputerów opanowanych przez programy złośliwe, które bez wiedzy ich użytkowników wykorzystywane są do automatycznego rozsyłania spamu. Ten sposób dystrybucji może utrudniać stosowanie usług reputacji, ponieważ adresy IP takich komputerów mają na starcie "czystą kartę" i na razie są w stanie wysłać tysiące niechcianych wiadomości.

Jedną z nowych metod jest tropienie łączników zagnieżdżonych w wiadomościach spamu, śledząc do jakiej witryny prowadzą i podejmując starania o odłączenie od internetu takich nielegalnych ośrodków.

Taką metodę proponuje zespół noszący nazwę KnujOn, nastawiający się na tropienie transakcji i w tym celu namierzający platformy, gdzie konsumenci kupują podróbki luksusowych towarów i sfałszowane medykamenty lub gdzie kradziona jest ich tożsamość.

Grupa funkcjonuje na witryniehttp://www.knujon.com, wykorzystując raporty nt. spamu przekazywane przez użytkowników. Niechciane wiadomości przekazywane na konta pocztowe grupy są analizowane pod kątem uzyskania informacji o miejscach internetowych, do których prowadzą URL-e w nich zagnieżdżone. Analiza zgromadzonych informacji pozwala rozstrzygać, czy nielegalna witryna zaangażowana jest w działalność przestępczą. Dzięki wykorzystaniu metod inżynierii programowania i kryminalistyki tworzona jest mapa takich miejsc w internecie.

Usługodawcy internetowi (ISP) mogą śledzić raporty o takich podejrzanych miejscach i mają możliwość przerwania działalności tych, które operują w ich sieciach, jeżeli tylko przedstawione dowody wskazują na ich niedozwolone działania.

Z chwilą, gdy taki ośrodek zostanie zamknięty, nie ma kto płacić za wysyłanie spamu z nim związanego, co w krótkim czasie powoduje zaniechanie jego wysyłania.

Inne organizacje, które także opierają się na raportach użytkowników, takie jak SpamCop czy Spamchaus Project, skupiają się na przekazywaniu do ISP, za pośrednictwem których wysyłano niechciane wiadomości, raportów o spamerach, ale nie o miejscach internetowych, które są wskazywane w takiej poczcie.

Poza technologicznymi środkami zatrzymywania spamu, w ramach inicjatywy MAAWG (Messaging Anti-Abuse Working Group), zrzeszającej ISP, prowadzone są prace nad poprawieniem stanu elektronicznej wymiany wiadomości. W maju 2007 r. grupa udostępniła zestaw dobrych praktyk (BPC - Sender Best Communication Practices) dla technologii poczty elektronicznej i opisy metod pozwalających na polepszenie współczynnika "dostarczalności" legalnych wiadomości marketingowych.