Atak Directory Harvest lub DHA to strategia mająca na celu zbieranie lub przechwytywanie adresów e-mail bez zgody użytkownika tego adresu. Chociaż metody są różne, jednym z najczęstszych podejść jest wysyłanie masowych wiadomości e-mail na szeroki zakres adresów, które z dużym prawdopodobieństwem są prawidłowe. Serwery zazwyczaj odpowiadają za pomocą jakiejś automatycznej wiadomości, jeśli podany adres e-mail jest nieprawidłowy, informując żniwiarza, które adresy są prawidłowe, a które nie.
W większości przypadków programy są używane do tworzenia banków możliwych adresów e-mail, które są przekierowywane przez serwery obsługiwane przez konkretnego klienta poczty e-mail. Na przykład, zbieracz może atakować bezpłatne usługi poczty e-mail i używać oprogramowania, próbując stworzyć listę milionów możliwych prawidłowych adresów e-mail używanych obecnie przez subskrybentów jednej lub więcej z tych usług. Oprogramowanie umożliwia kombajnowi ustalenie wytycznych dotyczących tworzenia adresów, takich jak określenie całkowitej liczby znaków w każdym adresie lub włączenie serii liter lub cyfr w tym adresie.
Po zakończeniu umieszczania na liście rozpoczyna się atak „directory harvest” poprzez masowe wysyłanie wiadomości e-mail na każdy możliwy adres znajdujący się na tej liście. Docelowe serwery odpowiedzą jakimś rodzajem wiadomości, jeśli podany adres e-mail jest nieprawidłowy. Wiadomość ta może deklarować niedostarczenie wiadomości e-mail lub zawierać słownictwo, które wskazuje, że adres w ogóle nie istnieje. Wszelkie adresy, które z jakiegokolwiek powodu nie są rozpoznawane przez serwer, są usuwane z listy, pozostawiając tylko te, które są pozornie aktywne i mogą z czasem otrzymywać dodatkowe wiadomości e-mail.
Ideą ataku typu directory harvest jest tworzenie list adresów e-mail, które można wykorzystać do reklamy i promocji w Internecie. Listy tworzone przy użyciu DHA są uważane za listy niekwalifikowane, co oznacza, że właściciele tych adresów e-mail nie udzielili uprawnień do otrzymywania ofert biznesowych. W rezultacie użycie wykazu utworzonego za pomocą ataku z użyciem katalogu pozwala reklamodawcy lub agentowi tego reklamodawcy na angażowanie się w spamowanie lub przesyłanie niechcianych wiadomości e-mail.
Reklamodawcy korzystający z tej metody rzadko spodziewają się dużego odsetka odpowiedzi na ich masowe zaproszenia e-mail. Stosunkowo niski koszt tworzenia tych list i wysyłania jednolitej oferty na każdy adres znajdujący się na tych listach oznacza, że nawet jeśli nie więcej niż jeden lub dwa procent osób otrzymujących wiadomości spamowe zdecyduje się dokonać zakupu, strategia jest opłacalna.
Dzięki wykorzystaniu oprogramowania antyspamowego wiele wiadomości e-mail ze spamem wysyłanych w wyniku bezpośredniego ataku polegającego na zbieraniu wiadomości jest kierowanych do folderu ze spamem, a nie do skrzynki odbiorczej użytkownika końcowego. Niektórzy dostawcy stosują również mechanizmy odrzucania masowych transmisji poczty, które wydają się mieć na celu dotarcie do podgrupy klientów korzystających z określonej platformy lub usługi poczty e-mail. To sprawiło, że każdy, kto korzysta z ataku na katalogi, musi bardzo ostrożnie planować, aby uniknąć powiadomienia usługodawcy i nadal pojawiać się z listą zweryfikowanych i aktywnych adresów e-mail.