QQ郵箱為什麼默認不顯示未知郵件的圖片？顯示圖片對郵箱安全有什麼隱患？

01-02

謝邀，站在黑客角度來給出答案。

大多數專業郵箱都默認不顯示圖片，因為：

看，src的值可以不需要是真圖片。

這樣可以隱蔽地得到郵件URL（即Referer，即瀏覽器地址欄那個URL）。

有什麼用呢？

1. 郵件打開跟蹤：只要郵件被查看就會請求這個hi.php地址，hi.php可以做好記錄，除了記錄是否被請求了，還可記錄郵件URL、用戶瀏覽器User-Agent、用戶IP地址等。這個可以做個郵件跟蹤系統了:)

有了這個，根本不需要「已讀回執」功能了。

有了這個，搞垃圾郵件群發的，各位腦補下，他們會有多開心。

2. 某些手機端郵箱：傳統的WAP或APP（本質是Web的情況），Referer可能會包括用戶身份token，這會導致身份token輕易泄露，賬號被盜。

3. 有人用hi.php來玩釣魚攻擊：hi.php可以被設置需要Auth等認證，這時一查看郵箱就彈出一個Auth窗口，提醒輸入用戶名密碼，只要場景設計好，有一定概率，用戶會被釣魚。

4. 確實，圖片可以很好躲避基於文本的貝葉斯反垃圾機制。默認屏蔽圖片，「意外」屏蔽了這個眼不見心不煩的煩惱？

就這麼小的一個點，這些年來一直出現各種對抗，出現個對抗又被修復。什麼是好郵箱？好郵箱就是這麼小的一個點，必須把控好安全與體驗的那種平衡：）

EOF.

上面 @餘弦說的很專業了。我補充一句：目前Gmail採用的方式是用Google自己的伺服器下載所有嵌入郵件的圖片，之後在用戶打開郵件時使用伺服器上的那份。很安全，並且相對更User-friendly一些。

不顯示圖片是因為發信源信譽太低，你有超屌的信譽的ip，隨便偽造隨便發圖，就算gmail也躲不過，不用謝。

# 因為垃圾郵件大部分都是由圖片構成的

# 因為如果是靠文字描述的垃圾郵件太容易被關鍵字屏蔽，而圖片不容易識別

# 正常人誰發郵件一大堆圖片？

# QQ郵箱也不是所有圖片都不顯示不是？他會判斷發信人的ip，域名，內容等，根據這些來分類。如果低於某個預設值，就假設他是垃圾郵件，就不顯示了。