Os spammers utilizam diversas formas para obter endereços de e-mail, desde a compra de bancos de dados com e-mails variados, até a produção de suas próprias listas de e-mails obtidos via programas maliciosos, harvesting e ataques de dicionário.
A obtenção através de programas maliciosos é possível devido à grande ligação entre os spammers e aqueles que desenvolvem estes programas.
Um programa malicioso, muitas vezes, é projetado também para varrer o computador onde foi instalado em busca de endereços de e-mail, por exemplo, na lista de endereços (address book) do usuário.
Os endereços de e-mail coletados são, então, repassados para os spammers.
Já o harvesting é uma técnica utilizada por spammers que consiste em varrer páginas Web, arquivos de listas de discussão, entre outros, em busca de endereços de e-mail.
Muitas vezes, os endereços de e-mail aparecem de forma ofuscada. Exemplos são as páginas Web ou listas de discussão que apresentam os endereços de e-mail com o “@” substituído por “(at)” e os pontos substituídos pela palavra “dot”. Vale lembrar que os programas que implementam as técnicas de harvesting utilizadas pelos spammers podem prever estas substituições.
Nos ataques de dicionário, por sua vez, o spammer forma endereços de e-mail a partir de listas de nomes de pessoas, de palavras presentes em dicionários e/ou da combinação de caracteres alfanuméricos.