(a) El Mail User Agent (MUA) transmite un correo electrónico al servidor de correo del emisor (P).
(b) Dicho servidor (P) retransmite el correo al servidor del receptor (Q), que se encarga de comprobar los datos de sobre del mensaje: la dirección IP del emisor y las direcciones de correo electrónico tanto del emisor como del receptor. Si la combinación de estos tres datos aún no ha sido registrada en la lista del servidor receptor (Q), el intento de entrega del correo será rechazado, indicando como motivo un fallo técnico. El servidor del receptor (Q), sin embargo, registrará los datos de sobre, es decir, el correo será incluido en la lista gris.
(c) Si se trata de un correo legítimo, el servidor del emisor (P) volverá a intentar enviarlo pasado cierto tiempo de espera. Puesto que, en este segundo intento, los datos de sobre ya serán reconocidos por el servidor del receptor (Q), el correo será entregado. De forma opcional, los datos de sobre pueden ser entonces incorporados a la lista blanca o whitelist del servidor de correo del receptor. Si esto ocurre, los futuros correos que tengan los mismos datos de sobre serán entregados sin retraso.
(d) Por el contrario, si se trata de un correo enviado de forma ilegítima, por lo general no se producirá un segundo intento de envío. En este caso, por lo tanto, la lista gris habrá cumplido su función de protección frente a spam y el correo no llegará a la bandeja de entrada.
El greylisting suele usarse en combinación con otras tecnologías de protección frente a spam. El Convenio de Remitentes o, en inglés, Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) así como el protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance) son otros sistemas efectivos para proteger el tráfico de correos electrónicos frente a las formas más habituales de abuso.
En particular, las listas grises funcionan especialmente bien si se combinan con otras técnicas emparentadas: las listas blancas y negras, es decir, con los métodos de whitelisting y blacklisting. A continuación, presentamos también un ejemplo del recorrido de los intentos de envío a los servidores receptores cuando están presentes estos mecanismos.