Объясните плиз по-человечески, что такое NoSpam в ToxID.

«случайный набор данных, смена которого позволяет продолжать поддерживать авторизованные ранее контакты, но игнорировать запросы от новых.» (отсюда)

Во, сенькс. С точки зрения юзера теперь понятно. А в плане «как реализовано» я всё равно не пойму. Хотя, учитывая что это поле в хвосте ToxID (вместе с чексуммой), и примерно представляя идею DHT, могу предположить, что оно тупо не влияет на маршрутизацию.

Не влияет. Смысл такой: есть основной ID, к нему присоединяется «хвост» Nospam. Когда ты оставил ToxID (основной ID + NoSpam) в публичном месте и тебе начинают писать спамеры, ты меняешь NoSpam, и твой ToxID, который был ранее опубликован, перестает действовать, так как хвост «nospam» поменялся. А авторизованные контакты, работают только с основным ID - им смена nospam не важна.

Вероятно, NoSpam-«тег» вообще не является частью идентификатора или публичного ключа, а просто является своеобразным паролем, который передаётся вместе с сообщением и проверяется на стороне клиента при попытке принять сообщение не из списка контактов?

Угу, есть такое подозрение.