Uma bomba de email, ou bomba de email, é um ato de abuso de rede malicioso, pelo qual uma conta de email é intencionalmente inundada com dados ou mensagens, tornando a conta inacessível. A conta pode ficar inativa por horas ou dias e pode resultar na interrupção do serviço do provedor de serviços de Internet (ISP) para a vítima do ataque. Isso ocorre porque uma bomba de correio pode causar falha no servidor de um provedor de serviços de Internet, afetando não apenas a vítima, mas todos os clientes. Quando um servidor de correio está inoperante, ninguém que assina o ISP pode enviar ou receber email através do provedor.

As pessoas que enviam bombas de correio são conhecidas como lusers (perdedores) na comunidade de hackers. É considerado uma forma infantil de atacar, um ataque simplista e grosseiro que afeta descuidadamente muito mais pessoas do que o (s) alvo (s) do agressor. Existem alguns métodos para enviar uma bomba de correio, descritos aqui em termos gerais.

Uma bomba de correio é eficaz devido à maneira como as contas de email são manipuladas. As contas de email residem em um servidor de email ou em computadores com software projetado para enviar e receber email. Um servidor de email de recebimento alocou espaço para caixas de correio virtuais atribuídas a seus clientes. Por exemplo, um ISP pode ter 100.000 assinantes e 300.000 caixas de correio (muitas pessoas têm mais de um endereço de email). É fácil ver que mesmo um servidor de email relativamente pequeno, como mostrado no exemplo, pode lidar com centenas de milhares de emails por dia.

Quando um servidor de correio é inundado por uma bomba de correio, os recursos disponíveis do computador são consumidos e o sistema sobrecarrega a ponto de travar. A bomba de correio pode consistir em um único arquivo compactado que se descompacta em um arquivo muito grande, preenchido com dados repetitivos que sobrecarregam e paralisam o sistema. Em outros casos, um agressor usará uma "botnet" (rede de robôs) para fazer o trabalho sujo.

Uma botnet é uma rede de computadores infectados, sub-repticiamente sob controle remoto do agressor. O controlador de uma botnet pode enviar um único comando que atinge todos os computadores na botnet. Isso pode ser centenas, milhares ou até mais de um milhão de computadores.

Os ISPs da botnet não capturam o ataque porque cada computador está enviando apenas uma ou duas mensagens. O resultado é que a conta de email direcionada recebe uma bomba de email de potencialmente milhões de emails de uma só vez. Isso pode ser oneroso para o ISP que recebe a bomba de correio, pois colocar o servidor de email on-line novamente para receber mensagens legítimas e bloquear as mensagens de entrada de uma bomba de correio originada por botnet pode ser uma tarefa difícil. Esse tipo de bomba de correio é conhecido como ataque DDoS (Distributed Denial of Service).

Outro método é usar o endereço de email de uma parte para inscrever a pessoa em várias listas de discussão. Uma lista de discussão é um fórum de discussão que se propaga por email. É necessário assinar a lista para entrar nela e cancelar a assinatura para deixar de receber as mensagens da lista. Todos os assinantes recebem todas as mensagens enviadas para a lista. Se a lista for popular, isso pode resultar em dezenas de mensagens por dia. Uma bomba de mala direta ocorre quando uma vítima é automaticamente inscrita em centenas de listas de discussão sem seu conhecimento ou permissão. A vítima deve então cancelar manualmente a inscrição em cada lista ou alterar seu endereço de e-mail e fechar a conta antiga.

Uma bomba de correio é uma ofensa séria e é contra os Termos de Serviço de todos os ISPs. Uma maneira de se proteger contra uma bomba de correio é salvar o endereço de email do seu ISP para uso privado, fornecendo-o apenas a amigos e familiares confiáveis. Um endereço de e-mail gratuito baseado na Web pode ser usado para se registrar em sites, participar de fóruns na Web ou jogos online. Se uma bomba de correio for enviada para esse endereço, o site ainda precisará lidar com o ataque e você poderá perder sua conta gratuita. No entanto, você ainda terá seu ISP, seu endereço de e-mail privado e poderá criar um novo endereço gratuito em outro site.