Untuk melawan filter anti-spam, penjahat mail (pengirim spam, junk, MLM, dll) mengadopsi strategi spoofing — mirip bibit penyakit yang mampu bermutasi untuk mengelabui sistem kekebalan. Email spoofing mengaku dikirimkan dari pengirim yang legal, seperti dari citibank.com, atau dari telkom.info :).
Yahoo dan produsen anti-spam lain mencoba menciptakan taktik untuk melawan spoofing semacam ini. Yang dilakukan adalah mengubah cara pengiriman dan penyampaian email, sehingga ISP-ISP dapat menguji kesahihan asal email yang dilewatkan. Melalui Anti-Spam Technical Alliance (ASTA), dilakukan kampanye untuk mengadopsi mekanisme autentikasi pengirim. Ada dua jalur teknis yang digunakan. Pertama: DomainKeys, dari Yahoo, menggunakan autentikasi kriptografik untuk menunjukkan identitas domain pengirim. Di pihak lain, ada mekanisme Sender ID dari Microsoft dan Sender Policy Framework (SPF) dari AOL, yang melakukan pengujian bahwa suatu email berasal dari IP di mana domain pengirim terautentikasi. Skema-skema ini masih sedang dikembangkan, tetapi sudah mulai diimplementasikan. Skema DomainKeys sudah diterapkan pada Gmail (Google) mulai November, dan pada Yahoo dan Earthlink mulai Desember. Sender ID telah diikuti 218 ribu domains. SPF telah dijalankan AOL dari ribuan domain lain.
Para spesialis anti-spam umumnya lebih memuji dan mendukung DomainKeys. Pada skema ini, suatu domain atau ISP harus membangkitkan sepasang kunci (key) digital: satu publik dan satu privat. Kunci publik, yang digunakan untuk dekripsi data yang dienkripsi dengan kunci privat, disebarkan melalui DNS. Kunci privat hanya diberikan kepada server pengirim mail.
Teks dan header pada setiap mail yang dikirimkan oleh user yang memiliki otorisasi di dalam suatu sistem, akan dienkripsi dengan kunci privat, untuk menghasilkan tandatangan digital yang akan ditambahkan pada header email. Saat email diterima server yang mendukung DomainKeys akan melakukan pembacaan kunci publik di DNS yang sesuai dengan domain pengirim. Kunci publik digunakan untuk mendekripsi tandatangan digital pada header email. Jika hasil dekripsi cocok dengan header dan teks email, maka email ini dianggap datang dari sumber yang benar. Juga, karena tandatangan disusun dari enkripsi header dan teks (bukan header saja), maka mekanisme ini juga sekaligus dapat menjaga email dari perubahan isi selama perjalanan.
Menurut Yahoo, teknik autentikasi berbasis IP, seperti pada SPF dan Sender ID, tidak seandal itu. Soalnya, mekanisme forwarding tertentu dapat menghilangkan keunggulan skema-skema ini. Jika pemakai Gmail.com menggunakan mail forwarding keren dari IEEE.org, maka mail yang terkirim dicarikan autentikasi dari dari IP yang terkait dengan ieee.org, bukan gmail.com. Mail yang valid akan dianggap spoof dengan cara ini. Earthlink menyampaikan, setiap cara yang tidak berdasar kriptografi akan menenui berbagai masalah yang berkaitan dengan tak dapat diramalkannya alur pengiriman email.
Namun ada masalah yang serupa dengan DomainKeys. Jika server forwarding melalukan penambahan teks pada mail yang sudah dienkripsi dengan DomainKeys, seperti misalnya iklan tambahan di bawahnya, maka seluruh mail dianggap juga sebagai spoof.
Maka … skema-skema ini memang masih dalam pengembangan.
