Para se të analizojmë domainin, le të kuptojmë së pari se çfarë përmban një adresë email: ajo përbëhet nga dy pjesë, emri i përdoruesit dhe domaini. Sulmuesit shpesh manipulojnë të dyja pjesët për të ngjashëm me burime të besueshme. Ndër metodat më të zakonshme të manipulimit të domainit, tre janë më të zakonshmet:

• Shfrytëzimi i domaineve të skaduara.
• Zëvendësimi i domainit të nivelit të lartë; për shembull, zëvendësimi i .org me .com.
• Ndarja e variacioneve ose shkrimet e gabuara:
• Gabimet e zakonshme në shkrime: goggle.com në vend të google.com.
• Shtimi i një pikë ose një karakteri tjetër: go.gle.com në vend të google.com.
• Zëvendësimi i shkronjave me numra: g00gle.com në vend të google.com.
• Përdorimi i shkronjave të shumëllojshme ose të vetëm në mënyrë të zëvendësueshme: googles.com në vend të google.com.
• Shtimi i fjalëve shtesë: googleresults.com në vend të google.com.
• Zëvendësimi i shkronjave me karaktere të ngjashme ose identike nga skriptet e tjera, të cilat mund të duken të ngjashme me syrin njerëzor por lexohen ndryshe nga kompjuterët; për shembull, përdorimi i shkronjës "a" nga shkrimi latin në vend të "a" nga tastiera kirilike.