Un ataque de recolección de directorio o DHA es una estrategia dirigida a recolectar o recolectar direcciones de correo electrónico sin el permiso del usuario de esa dirección. Si bien los métodos varían, uno de los enfoques más comunes es enviar un correo electrónico masivo a una amplia gama de direcciones que probablemente sean válidas. Los servidores suelen responder con algún tipo de mensaje automatizado si una dirección de correo electrónico determinada no es válida, alertando al recolector de qué direcciones son válidas y cuáles no.
En la mayoría de los casos, los programas de software se utilizan para crear bancos de posibles direcciones de correo electrónico que se enrutan a través de servidores operados por un cliente de correo electrónico en particular. Por ejemplo, un recolector puede apuntar a servicios de correo electrónico gratuitos y utilizar software en un intento de crear una lista de millones de posibles direcciones de correo electrónico válidas que utiliza actualmente el suscriptor a uno o más de esos servicios. El software permite al recolector establecer pautas para la creación de direcciones, como especificar el número total de caracteres en cada dirección o la inclusión de una serie de letras o números dentro de esa dirección.
Una vez que se completa la lista, el ataque de recolección de directorios se lanza enviando un correo electrónico masivo a todas las direcciones posibles incluidas en esa lista. Los servidores de destino responderán con algún tipo de mensaje si una dirección de correo electrónico determinada no es válida. Ese mensaje puede declarar que el correo electrónico no se puede entregar o incluir palabrería que indique que la dirección no existe en absoluto. Todas las direcciones que no son reconocidas por el servidor por cualquier motivo se eliminan de la lista, dejando solo aquellas que aparentemente están activas y pueden recibir correos electrónicos adicionales con el tiempo.
La idea detrás de un ataque de recolección de directorios es crear listas de correo electrónico que se puedan utilizar para publicidad y promoción en Internet. Las listas que se fabrican con DHA se consideran listas no calificadas, lo que significa que los propietarios de esas direcciones de correo electrónico no han otorgado permiso para recibir las solicitudes comerciales. Como resultado, el uso de un listado creado mediante un ataque de recolección de directorio permite al anunciante o un agente de ese anunciante participar en el envío de spam o la transmisión de correos electrónicos no solicitados.
Los anunciantes que utilizan este método rara vez esperan recibir un gran porcentaje de respuestas a sus solicitudes masivas por correo electrónico. El costo relativamente bajo de crear estas listas y enviar una solicitud uniforme a cada dirección incluida en esas listas significa que incluso si no más del uno o dos por ciento de los que reciben los mensajes de spam eligen realizar una compra, la estrategia es rentable.
Gracias al uso de software antispam, muchos de los correos electrónicos no deseados enviados como resultado de un ataque de recolección directo se envían a una carpeta de correo no deseado en lugar de a la bandeja de entrada del usuario final. Algunos proveedores también tienen mecanismos para rechazar transmisiones de correo masivo que parecen tener como objetivo llegar a un subgrupo de clientes que utilizan una plataforma o servicio de correo electrónico en particular. Esto ha hecho necesario que cualquiera que utilice un ataque de recolección de directorios planifique con mucho cuidado en un intento de escapar del aviso del proveedor de servicios y aún así emerger con una lista de direcciones de correo electrónico verificadas y activas.