De eigenaar van een e-mailadres moet expliciet en aantoonbaar toestemming hebben gegeven voor het ontvangen van e-mail van een bepaalde mailinglist. Deze toestemming is niet overdraagbaar.
Dat is betrouwbaar te verifiëren door gebruik te maken van ‘confirmed opt-in’. Na aanmelding krijgt de houder van het e-mail adres een verzoek om bevestiging opgestuurd, met daarin de vraag of hij zich daadwerkelijk wil aanmelden voor de mailinglist (of voor een nieuwsbrief of iets dergelijks). Indien de houder van het bewuste e-mailadres geen bevestiging terugstuurt, moet er vanuit gegaan worden dat iemand anders dat adres heeft opgegeven (of dat de houder zich heeft bedacht). Indien de houder van dat e-mailadres de vraag bevestigt, geeft hij expliciet aan dat hij toestemt met de ontvangst van emails via die mailinglist.
Systemen die ‘confirmed opt-in’ op de juiste manier implementeren, gebruiken niet te raden codes in het verzoek tot bevestiging. Alleen met die code kan de bevestiging definitief gemaakt worden. Dat heeft als voordeel dat derden de bevestiging niet kunnen vervalsen.
Omdat de verzender ook moet kunnen aantonen dat de ontvanger toestemming heeft verleend, dient het systeem de verzoeken tot bevestiging en de gemaakte bevestigingen op te slaan (‘loggen’), zodat desgevraagd die toestemming kan worden aangetoond. Dat is van belang op het moment dat ontvanger en verzender van mening verschillen over het ‘gevraagde’ karakter van de mailing (bijvoorbeeld als de ontvanger de mailing als ongewenst beschouwt, en daarom als spam bestempelt).