De simple nuisance, le spam est devenu une véritable menace pour le courrier électronique sur internet. On estime qu'il a dépassé 52,5 % du total des e-mails sur les soixante-huit milliards de messages envoyés chaque jour. Le filtrage de contenu pour lutter contre lui a montré certaines limites. « Le phishing est un bon exemple avec lequel ce type de filtrage ne fonctionne pas » , note Amir Lev, président et directeur technique de Commtouch Software, un éditeur de solutions antispam qui offre une solution indépendante de la langue, s'appuyant sur les caractéristiques de flux des e-mails plutôt que sur l'analyse du contenu. Chez Sendio, on estime que « les analyses bayésienne et heuristique ont misérablement échoué, et qu'il convient de trouver de meilleures solutions ».

En conséquence, un certain nombre d'acteurs se sont intéressés à l'authentification des e-mails. Même si elle ne traite pas du spam directement, elle vise à réduire la fraude et à responsabiliser l'auteur d'un courrier électronique. Beaucoup de spams sont en effet réalisés à partir d'adresses forgées. Ces derniers temps, plusieurs projets ont vu le jour ; ils peuvent être classés dans deux catégories principales : les projets centrés sur l'authentification de l'adresse IP (ou du chemin), et ceux faisant appel à la cryptographie à base de clé publique-clé privée.

La première catégorie regroupe Caller ID, de Microsoft, et SPF (Sender policy framework), de Meng Wong. Fondateur de Pobox.com , ce dernier avait présenté ses travaux à l'IETF en février dernier. Le principe est de publier les adresses IP des serveurs e-mails sortants autorisés à envoyer les courriers pour un domaine concerné. Quand un message est réceptionné au niveau de la passerelle de messagerie, une requête DNS (Domain name system) est envoyée afin de rechercher les adresses IP et les règles du domaine dont le message prétend provenir. Elle valide le chemin avec la règle publiée par le domaine expéditeur. Chez Sendmail, on estime que la différence principale entre Caller ID et SPF (au-delà de leur syntaxe) réside dans le fait que Caller ID valide l'en-tête From : de l'utilisateur visible (parmi d'autres en-têtes), tandis que SPF valide l'adresse SMTP Mail From : non affichée. Pour cette raison, Sendmail considère que Caller ID est une meilleure solution pour combattre la fraude.

Les systèmes à base de cryptographie sont représentés par DomainKeys, de Yahoo ! Il est adapté au e-commerce sur internet. L'approche de Yahoo ! consiste, elle, à appliquer une signature aux messages qui sont envoyés. Le domaine expéditeur publie sa clé publique dans le serveur DNS et signe les messages sortants avec sa clé privée. La passerelle de messagerie entrante récupère la clé publique publiée afin de valider la signature des messages entrants pour confirmer qu'ils ont bien été envoyés du domaine dont ils prétendent provenir et de s'assurer que le message n'a pas été altéré durant son transit. Tout comme Caller ID, Domain-Keys valide l'en-tête From : de l'utilisateur visible.

Quant à Sender ID, il représente la fusion de Caller ID et de SPF soumis, en juin dernier, au groupe de travail Marid de l'IETF. Pour Vincent Benveniste, responsable France et Europe du Sud de Sendmail, « ce n'est probablement pas le dernier mouvement de l'IETF. Il est vraisemblable que plusieurs mécaniques co-existeront, notamment à base de challenge-response  ».