לצד הגנה וחסימה של תעבורה דואר זדונית אנו צריכים לתחקר ולנתח את תעבורת הדואר שנכנסת וחשוב מכך את האירועים עצמם וכאלה שאנו מקבלים עליהם התראות, ואחד הדגשים החשובים בבדיקה של אירועים נכונים או שגויים היא לדעת על סמך מה אנו מרשיעים את האירוע.
אחת הבעיות של ספאם ובפרט פישינג, היא שלעיתים קרובות פריט דואר נשלח לקבוצה גדולה של נמענים מבלי שיסווג כספאם ונוחת בתיבת הדואר של המשתמשים, אם נקח דוגמה מהשטח, לרוב נשלחת הודעת דואר לקבוצה של מעל 100 נמענים ויותר, ובמצב כזה של שליחת דואר לנמענים רבים אחד מתוך המשתמשים ילחץ על הקישור או יפתח קובץ.
אחת הבעיות בתעבורת דואר היא כתובת דואר של מערכות צד שלישי, ונקח לדוגמה את התראות הדואר אשר נשלחות מתוך מערכות Microsoft וכוללות בין היתר התראות לגבי Biling או שינויים מערכתיים.
במקרים רבים אדמינים ומשתמשים עוצרים או מדווחים על כתובות אמיתיות שהם חלק מתוך ספאם או פישינג ובכך יוצרים בעיה.
