Pre nego što analiziramo domen, prvo treba da razumemo šta čini mejl adresu: ona se sastoji iz dva dela, korisničkog imena i domena. Napadači često manipulišu i korisničkim imenom i domenom kako bi on ličio na one izvore od poverenja. U metodama manipulacije domenom, tri su najčešće:

• Eksploatacija isteklih domena.
• Zamena domena najvišeg nivoa: npr. zamena .org sa .com.
• Razni primeri pogrešnog kucanja:
• Česte greške: goggle.com umesto google.com
• Dodavanje tačke ili drugog karaktera: go.ogle.com umesto google.com.
• Zamena slova sa brojevima: g00gle.com umesto google.com
• Korišćenje množine i jednine uzajamno: googles.com umesto google.com
• Dodavanje reči: googleresults.com umesto google.com
• Zamena slova sličnim ili identičnim karakterima iz drugih pisama: ljudskom oku može da se učini slično, ali ga računar drugačije čita; na primer, korišćenje slova “a” iz latinične umesto “a” iz ćirilične tastature.