Une attaque d'annuaire ou DHA est une stratégie visant à collecter ou récolter des adresses électroniques sans l'autorisation de l'utilisateur de cette adresse. Bien que les méthodes varient, l'une des approches les plus courantes consiste à envoyer un email en vrac à un large éventail d'adresses qui sont très susceptibles d'être valides. Serveurs généralement répondre avec une sorte de message automatique si une donnée adresse e-mail n'est pas valide, l'alerte de la moissonneuse dont les adresses sont valide et qui ne sont pas.
Dans la plupart des cas, les logiciels sont utilisés pour créer des banques de possibles adresses e-mail qui sont acheminés via des serveurs exploités par un particulier client e-mail. Par exemple, une moissonneuse peut cibler des services de courriel gratuits et des logiciels utilisés dans une tentative de créer une liste de millions de courriel valide les adresses possibles actuellement utilisé par l'abonné à un ou plusieurs de ces services. Le logiciel permet la moissonneuse à établir des lignes directrices pour la création des adresses, comme indiquant le nombre total de caractères dans chaque adresse, ou l'inclusion d'une série de lettres ou de chiffres au sein de cette adresse.
Une fois l'inscription terminée, l'attaque d'annuaire est lancée en vrac envoyant un e-mail à toutes les adresses possibles repris sur cette liste. Les serveurs ciblés répondra avec un certain type de message si une donnée adresse e-mail n'est pas valide. Ce message peut déclarer le verbiage e-mail non remis ou inclure indiquant l'adresse n'existe pas du tout. Toutes les adresses qui ne sont pas reconnus par le serveur pour une raison quelconque sont purgées de la liste, ne laissant que ceux qui sont apparemment active et capable de recevoir des e-mails supplémentaires au fil du temps.
L'idée derrière une attaque d'annuaire est de créer des e-mails annonces qui peuvent être utilisés pour la publicité et la promotion sur Internet. Les listes qui sont fabriqués à partir de DHA sont considérées comme des listes non qualifiés, ce qui signifie que les propriétaires de ces adresses e-mail ne sont pas autorisés à recevoir des sollicitations commerciales. En conséquence, l'utilisation d'une liste créée à l'aide d'une attaque d'annuaire permet à l'annonceur ou un mandataire d’un tel annonceur à s'engager dans le spamming, ou la transmission de courriels non sollicités.
Annonceurs utilisant cette méthode rarement s'attendre à connaître un énorme pourcentage de réponses à leurs sollicitations par courriel en vrac. Le coût relativement faible de la création de ces listes et d'envoyer une sollicitation uniforme à chaque adresse figurant sur ces listes signifie que même si pas plus d'un ou deux pour cent de ceux qui reçoivent les messages de spam choisir de faire un achat, la stratégie est rentable.
Merci à l'utilisation de logiciels anti-spam, beaucoup de spam e-mails envoyés à la suite d'une attaque de la récolte directe sont acheminés vers un dossier de spam plutôt que l'utilisateur final est dans la boîte. Certains fournisseurs ont également des mécanismes en place pour rejeter transmission du courrier électronique en vrac qui semblent avoir pour but de parvenir à un sous-groupe de clients qui utilisent une particulière plateforme de courrier électronique ou d'un service. Cela a rendu nécessaire pour toute personne utilisant une attaque d'annuaire pour planifier très soigneusement dans une tentative d'échapper à l'attention du prestataire de services et encore apparaître une liste des actifs vérifiées et adresses e-mail.