Beim E-Mail-Spoofing handelt es sich um die Fälschung eines E-Mail-Headers, sodass die Nachricht scheinbar von einer anderen Quelle oder eines anderen Absenders stammen als der tatsächliche Ursprung. Spammer nutzen oft das Spoofing, um die Empfänger dazu zu verleiten, Spam-Mails zu öffnen und sogar darauf zu antworten. Es gibt auch eine legitime Nutzung von Spoofing. Zu den klassischen Beispielen für Absender, die unter Umständen die Quelle einer E-Mail lieber verbergen möchten, gehören Absender, die eine Misshandlung durch den Ehegatten bei einer Behörde melden, oder Informanten, die sich vor Vergeltungsmassnahmen fürchten. Allerdings ist es in manchen Ländern illegal, sich für einen anderen auszugeben. E-Mail-Spoofing ist möglich, weil das Simple Mail Transfer Protocol (SMTP), das Hauptprotokoll in E-Mail-Übertragungen, keinen Authentifizierungsmechanismus besitzt. Obwohl eine SMTP Service-Extension (die in IETF RFC 2554 spezifiziert wurde) es dem SMTP-Client ermöglicht, eine Sicherheitsstufe mit dem Mailserver auszuhandeln, wird diese Vorsichtsmassnahme nicht oft ergriffen. Wenn dies der Fall ist, kann jeder mit entsprechenden Kenntnissen eine Verbindung zum Server aufbauen und den Server für die Übertragung von Nachrichten missbrauchen. Um eine gespoofte E-Mail zu senden, fügt der Absender Befehle in den Header, um die Informationen zu ändern. Es ist möglich, eine Nachricht zu senden, die von jedem beliebigen User überall auf der Welt zu stammen scheint und einen beliebigen Inhalt hat. Daher kann ein Unbekannter eine gespoofte E-Mail senden, die scheinbar von Ihnen selbst stammt, obwohl sie die Nachricht nie geschrieben haben. Obwohl die meisten gespooften E-Mails eher lästig sind und einfach gelöscht werden können, führen bösartigere Spoofs zu ernsthaften Problemen und Sicherheitsrisiken. Beispielsweise kann eine gespoofte E-Mail scheinbar von einer Behörde stammen und einen User zur Mitteilung von sensiblen Daten wie Passwörtern, Kreditkartennummern bzw. persönlichen Informationen auffordern, die dann für verschiedene kriminelle Aktivitäten verwendet werden können. Die Bank of America, eBay und Wells Fargo sind nur ein paar Beispiele für Unternehmen, die in letzter Zeit in Massen-Spam-Mailings gespooft wurden. In einer besonderen Art des E-Mail-Spoofing werden Spam-Nachrichten versendet, die scheinbar an den Empfänger gerichtet sind und vom Empfänger stammen.