根据经验，如果它看起来像垃圾邮件，那么它就是垃圾邮件。自动化工具可以被打败，但人脑（在这种情况下是我的）更难。反垃圾邮件软件可用于自动清除大多数垃圾邮件，将问题减少到可以接受人工过滤的程度。事实上，识别危险垃圾邮件相对容易，因为要成为危险垃圾邮件，就必须有一些钩子：指向时髦域的可点击链接、附加的可执行文件（或包含可执行文件的 Zip 存档）......因此，模棱两可的垃圾邮件是大多数无害的垃圾邮件（或非垃圾邮件）。

例如，我曾经收到一封垃圾邮件，其完整的正文是纯文本（没有 HTML 版本，没有附件，只有 ASCII 文本）并且由一个单词组成：“Theravada”。这是佛教一个分支的名称，因此该垃圾邮件的唯一潜在影响可能是帮助我获得启蒙，我不认为这是危险的。

这里的问题是，人为过滤电子邮件需要一个非常清楚从技术上讲，给定电子邮件如何对机器造成伤害的大脑，因此这仅适用于我或任何其他信息安全专家，不适用于一般用户。（另外，不要在醉酒时阅读您的电子邮件。）这也强调了反垃圾邮件过滤器从来都不是绝对的，特别是因为它们依赖于垃圾邮件发送者不断适应的启发式方法。充其量，好的规则将有助于将垃圾邮件的数量减少到人类可管理的总数。

在通用站点中，可行的折衷方案可能如下：

• 使用像SpamAssassin这样的“普通”工具来阻止 90% 的“明显垃圾邮件”。
• 使用白名单自动发送来自已知良好来源的电子邮件。这就提出了是否可以冒充“已知良好来源”的问题；DKIM可以提供帮助（即，如果通过 DKIM 保证电子邮件来自给定服务器并且该服务器已被列入白名单，则让电子邮件通过）。
• 让“明显”无害的电子邮件通过。这与用户的培训程度有关；纯 ASCII 电子邮件仍然可以要求用户将他的密码发送到 sysadmin@evilhackerz.com，如果您的用户会喜欢它，那么几乎没有电子邮件可以被视为“明显无害”。
• 所有剩余的电子邮件都可以堆积在隔离区，以供知识渊博的人检查。

对电子邮件进行人工检查可能会对通信隐私的期望产生法律影响；即使在商业环境中，您仍然必须确保所有相关政策和合同条款都是“合法的”。

有许多公司在销售和/或运营反垃圾邮件系统方面赚了一大笔钱，所以我们可能会推断，彻底击败垃圾邮件可能不是一件容易的事。

在我看来，MXToolbox 和 Virustotal 是非常好的工具。请记住，以“低和慢”速率发送的受感染电子邮件帐户可能会在一段时间内避免列入黑名单。Virustotal 仍然可能错过零日恶意软件，但我同意可能没有比这更好的了。

但是，人工检测不需要的或恶意的电子邮件很容易（假设您有一个聪明的人！）。请记住，工具的使用是为了帮助人工评估电子邮件 - 如果人们认为电子邮件是垃圾邮件，但应用程序认为它是合法的，那么人工评估应该占上风。

• 垃圾邮件通常是显而易见的，因为它在卖东西，并且是无附件或超链接的垃圾邮件的包罗万象的类别。此外，垃圾邮件在旁观者的眼中非常重要 - 许多用户会选择从合法在线商店接收时事通讯，但会将邮件视为“垃圾邮件”。

• 网络钓鱼很容易定义：发件人假装是其他人，并在电子邮件中提供“登录此处做某事”链接。如果不确定，请通过其他方法联系（声称的）发件人并检查！如果发件人使用营销服务，您可能会收到误报，尽管大多数合法提供商都会在每封电子邮件中提供信息性标题 + 选择退出。

诈骗往往遵循既定模式，实际上只有几个标记要记住：

• 您被要求汇款（彩票诈骗/我在海外被抢劫/帮助我进行转账并收取费用/等）。这是迄今为止最常见的诈骗类型。
• 您被要求透露姓名、地址、用户名和密码等个人信息（有助于鱼叉式网络钓鱼或身份盗用）

最好的可用信息大多在电子邮件本身之外：

• 电子邮件是从不是电子邮件发件人的合法服务器的服务器发送的，或者是从似乎位于动态网络（如 wifi 热点或拨号）上的机器发送的。
• 该电子邮件是从过去一直是垃圾邮件来源的服务器发送的。
• 电子邮件由不特别符合相关 SMTP RFC 的服务器发送。灰名单通过返回临时故障并期望真正的邮件服务器排队和重新投递来利用这一点。另一种技术是在初始握手中插入延迟，以检测发送 SMTP 命令脚本而不实际与服务器交互的源。
• 电子邮件被发送到收件人的错误服务器。辅助 MX 记录通常指向仅对电子邮件进行排队并且缺乏对垃圾邮件或不良收件人进行分类所需的信息的机器。垃圾邮件发件人通过避开（配置良好的）主 MX 记录来利用这一点，即使它可用。
• 电子邮件被发送给许多收件人。像谷歌这样的大型电子邮件服务在垃圾邮件检测方面具有优势，因为它们可以看到邮件何时发送给许多原本不倾向于收到相同邮件的人。
• 该电子邮件的 URL 引用了托管恶意软件或网络钓鱼诈骗的网站。