Email spoofing menjelaskan praktik pengirim email yang mengubah informasi di header email sehingga melaporkan alamat email asal yang berbeda dari alamat yang sebenarnya dikirim. Karena email spoofing tidak sulit dilakukan, rata-rata pengguna email akan menemui email spoofing secara rutin. Sementara beberapa pengguna memalsukan alamat email untuk alasan yang sah seperti membalas email bisnis dari kotak surat pribadi, praktik ini biasanya digunakan dalam spamming dan penipuan email. Email spoofing dapat digunakan untuk mencuri informasi pribadi atau untuk membingungkan pengguna agar mengunduh virus.
Pada dasarnya digunakan untuk membuat email terlihat seperti berasal dari suatu tempat yang bukan, proses spoofing email hampir semudah menulis alamat pengirim yang salah pada selembar surat. Standar yang digunakan untuk mengirim email Internet, yang disebut Simple Mail Transfer Protocol (SMTP), memungkinkan pengguna untuk menulis dalam email yang diformat dengan benar yang mereka inginkan. Alamat asal email tidak harus sesuai dengan alamat pengirim yang harus dilalui dalam sistem SMTP. Email palsu biasanya dikirim oleh program robot yang dirancang untuk mengirim email palsu massal.
Penipuan yang menggunakan kemampuan spoofing email SMTP banyak. Email spoofing dapat digunakan untuk mengelabui pengguna agar membuka lampiran virus di email yang tampaknya berasal dari teman. Perusahaan yang mengirim email spam sering kali memalsukan alamat email dengan masalah hukum yang terkait dengan pelanggaran undang-undang anti-spam federal dan lokal. Mengirim tajuk email palsu atau email dengan baris subjek yang dirancang untuk mengelabui pengguna email adalah ilegal di Amerika Serikat.
Salah satu jenis penipuan email paling serius yang terkait dengan spoofing adalah phishing. Phishing terjadi ketika pengirim email membuat email seolah-olah berasal dari sumber yang sah untuk mengumpulkan informasi seperti nama pengguna, kata sandi, informasi kartu kredit, dan data pribadi lainnya. Email yang dirancang untuk menyesatkan pengguna email agar memasukkan data pribadi sering kali terlihat hampir persis seperti email asli yang dikirim dari perusahaan, hingga tampilan situs web perusahaan dan email serta logo perusahaan. Email penipuan ini biasanya dibuat agar terlihat seperti perusahaan atau layanan yang umum digunakan seperti bank, perusahaan kartu kredit, atau toko bunga online. Meskipun sebagian besar email phishing dikirim secara acak ke alamat email mana pun yang dapat dikumpulkan oleh para spammer, beberapa spammer menargetkan kelompok pengguna web tertentu yang informasi kontak emailnya mungkin telah dilanggar atau dijual secara tidak sengaja oleh perusahaan yang secara sah mengumpulkan alamat email tersebut.