Nem lehetséges, hogy a legegyszerűbb lehetőségről beszélünk? Azaz: sima bruteforce imap/pop3 fiók "feltörésből" származnak ezek a levelek, csak eddig ilyen esetben smtp auth-ra használták főleg az így megtalált accountot (ugyanazon hoston, vagy az mx-en spameltek vele, ha találtak smtp szolgáltatást hozzá). Most szintet léptek, és használják már a postafiókok tartalmát is.