Dipende dal testo che scrivi e se il tuo sito ha il certificato SSL integrato. Se devi fare phishing su facebook ed inviare un email puoi usare una tecnica che si chiama call back url che è efficace nel 80% dei casi e bypassa i filtri antispam. Esempio: "Ciao, ho visto che hai scattato questa foto: di quanti è vecchia: link"
Se riesci ad accedere all'html dell'email, puoi pensare di obfuscare il codice del collegamento ipertestuale con un tool di obuscation che si basa su javascript, non l'ho testato ma penso sia un ottimo suggerimento per bypassare lo scan.
Ovviamente gli scenari sono tanti, puoi pensare di mandare un allegato html con la funzione di condivisione di Google Drive e l'invito a scaricarlo spacciandolo per una fattura, magari ci inserisci un alert con javascript tipo "
La tua sessione è scaduta per motivi di sicurezza: per accedere al contenuto dovrai autenticarti nuovamente" Appena preme "ok" visualizza il finto form e ottieni id e psw. Bypassi anche la reputation dei siti web e filtri antiphishing ( se integrati nel browser ) Ovviamente puoi anche usare servizi per offuscare il codice della pagina per bypassare antivirus che scansionano le pagine web html offline per vedere se comunicano tramite richieste post
Puoi anche usare i servizi di shorten url e seguire il suggerimento che ti ha dato
@MafiaBoy per bypassare lo scan, mi sembra molto valido come consiglio.
Come ti hanno fatto notare molti, il phishing si sta spostando sugli SMS o sulle chiamate: l'sms fornisce molte probabilità che un utente apri il link, e la chiamata fa leva sulla buona fede dell'utente in quanto le persone si sentono piu al sicuro a fornire le loro informazioni ad un operatore reale che sembra autorizzato a richiedere certi dati.
Un'altro trick che è buono per violare l'email è la password recovery scam che avviene via SMS ed è molto ma molto convincente e non servono ne links e ne conoscenze oltre alla norma ma solo una buona dose si social engineering.
Se hai bisogno di altri suggerimenti, sentiti libero di chiedere.