Un ataque de recolección de directorio o DHA es una estrategia destinada a recopilar o recolectar direcciones de correo electrónico sin el permiso del usuario de esa dirección. Si bien los métodos varían, uno de los enfoques más comunes es enviar un correo electrónico masivo a una amplia gama de direcciones que es muy probable que sean válidas. Los servidores suelen responder con algún tipo de mensaje automatizado si una dirección de correo electrónico dada no es válida, alertando al recolector de qué direcciones son válidas y cuáles no.

En la mayoría de los casos, los programas de software se utilizan para crear bancos de posibles direcciones de correo electrónico que se enrutan a través de servidores operados por un cliente de correo electrónico en particular. Por ejemplo, un recolector puede enfocarse en servicios de correo electrónico gratuitos y usar software en un intento de crear una lista de millones de posibles direcciones de correo electrónico válidas actualmente utilizadas por el suscriptor de uno o más de esos servicios. El software permite al recolector establecer pautas para la creación de las direcciones, como especificar el número total de caracteres en cada dirección o la inclusión de una serie de letras o números dentro de esa dirección.

Una vez que se completa la lista, el ataque de recolección de directorios se inicia mediante el envío masivo de un correo electrónico a todas las direcciones posibles incluidas en esa lista. Los servidores de destino responderán con algún tipo de mensaje si una dirección de correo electrónico no es válida. Ese mensaje puede declarar que el correo electrónico no se puede entregar o incluir palabras que indiquen que la dirección no existe en absoluto. Cualquier dirección que el servidor no reconozca por cualquier motivo se elimina de la lista, dejando solo aquellas que aparentemente están activas y son capaces de recibir correos electrónicos adicionales con el tiempo.

La idea detrás de un ataque de recolección de directorios es crear listados de correo electrónico que puedan usarse para publicidad y promoción en Internet. Las listas que se fabrican con DHA se consideran listas no calificadas, lo que significa que los propietarios de esas direcciones de correo electrónico no han otorgado permiso para recibir las solicitudes comerciales. Como resultado, el uso de un listado creado mediante un ataque de recolección de directorio permite al anunciante o un agente de ese anunciante participar en el envío de correo no deseado o la transmisión de correos electrónicos no solicitados.

Los anunciantes que utilizan este método rara vez esperan experimentar un gran porcentaje de respuestas a sus solicitudes masivas de correo electrónico. El costo relativamente bajo de crear estas listas y enviar una solicitud uniforme a cada dirección incluida en esas listas significa que incluso si no más del uno o dos por ciento de los que reciben los mensajes de spam eligen realizar una compra, la estrategia es rentable.

Gracias al uso del software anti-spam, muchos de los correos electrónicos no deseados enviados como resultado de un ataque de recolección directa se enrutan a una carpeta de correo no deseado en lugar de a la bandeja de entrada del usuario final. Algunos proveedores también tienen mecanismos para rechazar las transmisiones de correo masivo que parecen estar destinadas a llegar a un subgrupo de clientes que utilizan una plataforma o servicio de correo electrónico en particular. Esto ha hecho necesario que cualquiera que use un ataque de recolección de directorios planifique con mucho cuidado en un intento de escapar de la notificación del proveedor del servicio y aún así emerja con una lista de direcciones de correo electrónico verificadas y activas.