La suplantación de identidad de correo electrónico describe la práctica de un remitente de correo electrónico que cambia la información en el encabezado de un correo electrónico para que informe una dirección de correo electrónico de origen diferente de la dirección desde la que realmente se envió. Debido a que el correo electrónico de suplantación de identidad no es difícil de hacer, el usuario promedio de correo electrónico se encontrará con la suplantación de identidad de forma regular. Si bien algunos usuarios falsifican una dirección de correo electrónico por razones legítimas, como responder al correo electrónico comercial desde un buzón personal, la práctica generalmente se usa en correo no deseado y estafas por correo electrónico. La suplantación de identidad por correo electrónico se puede utilizar para robar información personal o para confundir a un usuario para que descargue un virus.

Esencialmente utilizado para hacer que un correo electrónico parezca que proviene de un lugar en el que no lo hizo, el proceso de falsificación de un correo electrónico es casi tan fácil como escribir la dirección de retorno incorrecta en un correo. El estándar utilizado para enviar correos electrónicos por Internet, denominado Protocolo simple de transferencia de correo (SMTP), permite al usuario escribir en cualquier correo electrónico con el formato correcto que desee. La dirección de origen de un correo electrónico no tiene que coincidir con la dirección de envío para pasar en un sistema SMTP. Los correos electrónicos falsificados generalmente son enviados por programas de robots diseñados para enviar correos electrónicos falsos en masa.

Las estafas que utilizan las capacidades de suplantación de correo electrónico de SMTP son muchas. La suplantación de identidad por correo electrónico se puede utilizar para engañar a un usuario para que abra un archivo adjunto de virus en un correo electrónico que parece ser de un amigo. Las empresas que envían correos electrónicos no deseados a menudo falsifican la dirección de correo electrónico a los problemas legales asociados con el incumplimiento de las leyes federales y locales contra el correo no deseado. Enviar un encabezado de correo electrónico falsificado o un correo electrónico con una línea de asunto diseñada para engañar al usuario del correo electrónico es ilegal en los Estados Unidos.

Uno de los tipos más graves de estafas por correo electrónico asociadas con la suplantación de identidad es el phishing. La suplantación de identidad se produce cuando un remitente de correo electrónico hace que un correo electrónico parezca provenir de una fuente legítima para recopilar información como nombres de usuario, contraseñas, información de tarjetas de crédito y otros datos privados. Los correos electrónicos diseñados para engañar a los usuarios de correo electrónico para que ingresen datos privados a menudo se ven casi exactamente como correos electrónicos reales enviados desde la compañía, hasta la apariencia del sitio web de la compañía y el correo electrónico y el logotipo de la compañía. Estos correos electrónicos fraudulentos generalmente se hacen para parecerse a una empresa o servicio de uso común como un banco, una compañía de tarjetas de crédito o un florista en línea. Aunque la mayoría de los correos electrónicos de phishing se envían aleatoriamente a cualquier dirección de correo electrónico que los spammers hayan podido recopilar, algunos spammers se dirigen a grupos específicos de usuarios web cuya información de contacto de correo electrónico puede haber sido violada o vendida accidentalmente por una empresa que recopiló legítimamente la dirección de correo electrónico.