Les spams sont fréquemment envoyés par des machines zombies, c'est à dire des PC d'internautes qui ont été infectés par un virus et font désormais partie d'un réseau organisé d'envoi de spam à l'insu de leurs propriétaires, ou par des serveurs web dont les pirates auraient exploité une faille afin d'en prendre le contrôle.
Une des conséquences est que les programmes qui se chargent d'expédier les spams ont pour objectif d'envoyer un maximum de messages en un minimum de temps.
Lors de la connexion du programme vers le serveur de messagerie du destinataire, le programme commence à envoyer des données avant d'être théoriquement autorisé à le faire.
Le fait de ne pas respecter les étapes du protocole SMTP, définies dans les standards de communication (RFC), est une anomalie qui est facilement détectable et peut ensuite être utilisée lors de la phase de test antispam.
Ce filtre peut être réglé de manière à bloquer les messages qui ne respectent pas le protocole SMTP, car le risque de faux positif est très faible : tous les serveurs mail légitimes respectent les standards et aucun ne violera cette règle.