Una bomba de correo electrónico, o una bomba de correo para abreviar, es un acto de abuso de red malicioso por el cual una cuenta de correo electrónico se inunda a propósito con datos o mensajes, haciendo que la cuenta sea inaccesible. La cuenta puede estar inactiva durante horas o días, y puede provocar que el proveedor de servicios de Internet (ISP) suspenda el servicio a la víctima del ataque. Esto se debe a que una bomba de correo puede hacer que el servidor de correo de un ISP se bloquee, afectando no solo a la víctima, sino a todos los clientes del ISP. Cuando un servidor de correo está inactivo, nadie que se suscriba a ese ISP puede enviar o recibir correos electrónicos a través del proveedor.

Las personas que envían bombas de correo se conocen como lusers (perdedores) dentro de la comunidad de hackers. Se considera una forma infantil de ataque, un ataque simplista y crudo que afecta descuidadamente a muchas más personas que el objetivo o los objetivos del autor. Existen algunos métodos para enviar una bomba de correo, descritos aquí en términos generales.

Una bomba de correo es efectiva debido a la forma en que se manejan las cuentas de correo electrónico. Las cuentas de correo electrónico residen en un servidor de correo o en computadoras con software diseñado para enviar y recibir correo. Un servidor de correo receptor ha asignado espacio para los buzones virtuales asignados a sus clientes. Por ejemplo, un ISP podría tener 100,000 suscriptores y 300,000 buzones (muchas personas tienen más de una dirección de correo electrónico). Es fácil ver que incluso un servidor de correo relativamente pequeño, como se muestra en el ejemplo, puede manejar cientos de miles de correos electrónicos cada día.

Cuando un servidor de correo se inunda por una bomba de correo, los recursos disponibles de la computadora se consumen y el sistema se sobrecarga hasta el punto de fallar. La bomba de correo podría consistir en un único archivo comprimido que se descomprime en un archivo muy grande lleno de datos repetitivos que abruma y bloquea el sistema. En otros casos, un perpetrador usará una "botnet" (red de robots) para hacer el trabajo sucio.

Una botnet es una red de computadoras infectadas, subrepticiamente bajo control remoto del autor. El controlador de una botnet puede enviar un solo comando que llega a todas las computadoras de la botnet. Esto puede ser cientos, miles o incluso más de un millón de computadoras.

Los ISP de la botnet no detectan el ataque porque cada computadora solo envía uno o dos mensajes. El resultado es que la cuenta de correo electrónico objetivo recibe una bomba de correo de potencialmente millones de correos electrónicos a la vez. Esto puede ser costoso para el ISP que recibe la bomba de correo, ya que volver a poner en línea el servidor de correo para recibir correo legítimo mientras bloquea los mensajes entrantes de una bomba de correo de origen botnet puede ser una tarea difícil. Este tipo de bomba de correo se conoce como ataque de denegación de servicio distribuido (DDoS).

Otro método es utilizar la dirección de correo electrónico de una parte para suscribir a la persona a múltiples listas de correo. Una lista de correo es un foro de discusión que se propaga por correo electrónico. Para suscribirse, uno debe suscribirse a la lista y darse de baja para dejar de recibir los mensajes de la lista. Todos los suscriptores reciben todos los mensajes enviados a la lista. Si la lista es popular, esto puede generar docenas de mensajes por día. Una bomba de correo de la lista de correo ocurre cuando una víctima se suscribe automáticamente a cientos de listas de correo sin su conocimiento o permiso. La víctima debe darse de baja manualmente de cada lista, o cambiar su dirección de correo electrónico y cerrar la cuenta anterior.

Una bomba de correo es un delito grave y va en contra de los Términos de Servicio de todos los ISP. Una forma de protegerse contra una bomba de correo es guardar la dirección de correo electrónico de su ISP para uso privado, dándola solo a amigos y familiares de confianza. Se puede utilizar una dirección de correo electrónico gratuita basada en la web para registrarse en sitios web, participar en foros web o juegos en línea. Si se envía una bomba de correo a esta dirección, el sitio web aún tendrá que lidiar con el ataque y podría perder su cuenta gratuita. Sin embargo, aún tendrá su ISP, su dirección de correo electrónico privada, y puede crear una nueva dirección gratuita en otro sitio web.