La directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit que les données à caractères personnel doivent être traitées loyalement et licitement, avec le consentement clair de la personne concernée. Ces données ne peuvent être collectées que pour des finalités déterminées et explicites.
La directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques précise l'interdiction d'envoi de messages commerciaux non sollicités en instaurant le principe dit de l'opt-in : un opérateur doit obtenir le consentement du destinataire avant de lui envoyer des messages commerciaux.
Le principe introduit par la directive européenne a été transposé en France par la loi du 21 juin 2004 pour la confiance dans l’économie numérique et figure désormais à l'article L.34-5 du code des postes et des communications électroniques, repris à l'article L.121-20-5 du code de la consommation :
La Cnil indique qu'un formulaire doit demander le consentement d'une personne à l'envoi de messages commerciaux à son adresse ; la case correspondante ne doit pas être pré-cochée. Même si le message est envoyé de manière légale, le courrier de prospection doit proposer au destinataire un moyen simple de refuser toute utilisation ultérieure de ses coordonnées.
La récupération des adresses électroniques (sur le web, sur des forums de discussion) de manière automatique est elle-même interdite. L'article 226-18-1 du code pénal, introduit par une loi du 6 août 2004, punit de cinq ans d'emprisonnement et de 300 000 euros d'amende un « traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale ». Même pour des faits antérieurs à la loi du 6 août 2004, la cour de cassation avait déjà confirmé l'interdiction d'utiliser des robots collecteurs d'adresses électroniques en se basant sur l'article 226-18 du code pénal, qui réprime « le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d'informations nominatives malgré l'opposition de la personne ».
Les États-Unis ont développé une législation anti-pourriel au niveau d'un grand nombre d'États ainsi qu'au niveau fédéral (CAN-SPAM Act du 16 décembre 2003). Le mécanisme est celui de l'opt-out, c’est-à-dire que le destinataire de messages commerciaux doit avoir la possibilité de demander à ne plus recevoir ces messages, alors que le système européen, plus restrictif pour les auteurs de messages commerciaux, exige un consentement a priori du destinataire (opt-in).
Techniquement, l'envoi de courriel en masse demande des ressources importantes. Les polluposteurs n'en disposent pas forcément, et ils souhaitent en outre masquer ou effacer les traces de leur activité frauduleuse. Pour cela, ils piratent très couramment des machines tierces, notamment pour les transformer en machines zombies. En France, il est donc fréquent que, du point de vue juridique, les polluposteurs tombent également sous le coup des articles 323-1 et suivants du code pénal.