Preden analiziramo domeno, najprej poglejmo, kaj sestavlja e-poštni naslov: sestavljen je iz dveh delov, uporabniškega imena in domene. Napadalci pogosto manipulirajo z obema, uporabniškim imenom in domeno, da bi spominjali na zaupanja vredne vire. Med metodami manipulacije z domeno so tri najpogostejše:

• Izkoriščanje poteklih domen.
• Zamenjava vrhnje domene; na primer, zamenjava .org z .com.
• Uvedba variacij ali napačnih črkovanj:
• Pogoste napake pri črkovanju: goggle.com namesto google.com.
• Dodajanje pike ali drugega znaka: go.gle.com namesto google.com.
• Zamenjava črk s številkami: g00gle.com namesto google.com.
• Izmenična uporaba množine in ednine: googles.com namesto google.com.
• Dodajanje dodatnih besed: googleresults.com namesto google.com.
• Zamenjava črk s podobnimi ali identičnimi znaki iz drugih pisav, ki se lahko človeškemu očesu zdijo podobni, vendar jih računalniki berejo drugače; na primer, uporaba črke “a” iz latinske pisave namesto “a” iz cirilice.