Pada dasarnya, SMTP hanyalah protokol berbasis teks tanpa verifikasi nyata. Ini sebuah contoh:
=== Trying g3.example.net:25...
=== Connected to g3.example.net.
<- 220 home.example.net ESMTP Exim 4.68 Thu, 07 May 2009 11:03:21 -0400
-> EHLO g3.example.net
<- 250-home.example.net Hello g3.example.net [192.168.0.4]
<- 250-SIZE 52428800
<- 250-PIPELINING
<- 250-AUTH CRAM-SHA1 CRAM-MD5 MSN
<- 250-STARTTLS
<- 250 HELP
-> MAIL FROM:<jj33@g3.example.net>
<- 250 OK
-> RCPT TO:<jj33@g3.example.net>
<- 250 Accepted
-> DATA
<- 354 Enter message, ending with "." on a line by itself
-> Date: Thu, 07 May 2009 11:03:21 -0400
-> To: jj33@g3.example.net
-> From: jj33@g3.example.net
-> Subject: test Thu, 07 May 2009 11:03:21 -0400
-> X-Mailer: swaks v20070921.0-dev jetmore.org/john/code/#swaks
->
-> This is a test mailing
->
-> .
<- 250 OK id=KJA4HL-0006M6-8T
-> QUIT
<- 221 home.example.net closing connection
=== Connection closed with remote host.
Baris "MAIL FROM:" mendefinisikan pengirim amplop SMTP, dan Dari: ditentukan dalam pesan DATA. Ada beberapa cara untuk melindungi dari ini, tetapi mereka didefinisikan dalam logika server surat, bukan dalam protokol itu sendiri.
Misalnya saya, sebagai penyedia email, mungkin meminta pengguna untuk mengautentikasi menggunakan nama pengguna tipe domain @. Kemudian server email saya mungkin mensyaratkan bahwa setiap email yang mereka kirim memiliki pengirim-amplop dan header Dari: yang cocok dengan pengguna yang diautentikasi. Teknologi tambahan seperti DKIM dan SPF dapat membantu di bidang ini juga.