電子郵箱為了安全，默認不下載圖片，為什麼圖片會有潛在的危險呢？

01-07

outlook默認只下載文本，不下載圖片。難道圖片有潛在的危險嗎？圖片能自動執行一些代碼？

這個問題說起來可就長了，簡單講兩句。

其實問題並不準確，正確的安全防範並不只是不能打開圖片，而是不能打開除去郵件自帶內容之外的任何外部資源。

這要從spam的故事說起。在早期互聯網上，電子郵件是最主要的溝通工具，同是，也是重要的營銷渠道。真實活躍的郵件地址，是可以在黑市上賣到很高價格的。那麼就有人動歪腦筋了，反正我發一封垃圾郵件的邊際成本為零，那我何不試探各種數字和單詞的組合，這樣有很大的概率郵件是可以送達的。那麼如何記錄哪些郵件被送達並被打開了呢？spammer想出一個簡單巧妙的方法：在郵件裡面加入指紋圖片，當圖片伺服器收到指紋圖片的下載請求的時候，表示這封郵件發送到了一個真實的地址並且被打開閱覽過。

舉個例子：我群發了100w封郵件，每封郵件裡面有個圖片鏈接，名稱都不一樣，類似於http://spam.com/（1~1000000）.gif這樣。然後過了一小時我收到了一個請求http://spam.com/250.gif的圖片請求，然後我去查下發送記錄，發現剛才的郵件，250.gif是發給郵件地址doubi@erhuo.com的。所以，這個郵件地址真實有效，可以拿來黑市交易。

為了防止這種廣撒網的垃圾郵件釣魚方式，幾乎所有的郵件客戶端，都會默認禁止郵件內部引用的外部資源的自動載入。

實際上，這種使用指紋圖片作為tracking system的，也有正面應用，比如電子賬單——銀行發給你的電子賬單裡面的指紋圖片如果被請求，說明賬單你已經收到並且閱讀。針對這種安全地址發過來的圖片，有些客戶端（比如gmail）就會有「總是顯示來自xxx的圖片」這樣的選項。

下面是我之前的一篇文章，比較全面了：

-----------------

你會發現很多好郵箱在查看不可信郵件時，圖片會默認不顯示，為什麼呢？

注意：我說的是好郵箱：）

站在黑客角度來給出答案。

大多數專業郵箱都默認不顯示圖片，因為如果郵件內容包含如下代碼（很合法，不會被常規過濾）：

看，src 的值可以不需要是真圖片。

這樣可以隱蔽地得到郵件 URL（即 Referer，即瀏覽器地址欄那個 URL）。

有什麼用呢？

1、郵件打開跟蹤：只要郵件被查看就會請求這個 hi.php 地址，hi.php 可以做好記錄，除了記錄是否被請求了，還可記錄郵件 URL、用戶瀏覽器 User-Agent、用戶 IP 地址等。這個可以做個郵件跟蹤系統了:)

有了這個，根本不需要「已讀回執」功能了。

有了這個，搞垃圾郵件群發的，各位腦洞大開下，他們會有多開心。

2、某些手機端郵箱：傳統的 WAP 或 APP（本質是 Web 的情況），Referer 可能會包括用戶身份 token，這會導致身份 token 輕易泄露，賬號被盜。

3、有人用 hi.php 來玩釣魚攻擊：hi.php 可以被設置需要 Auth 等認證，這時一查看郵箱就彈出一個 Auth 窗口，提醒輸入用戶名密碼，只要場景設計好，有一定概率，用戶會被釣魚。

4、確實，圖片可以很好躲避基於文本的貝葉斯反垃圾機制。默認屏蔽圖片，「意外」屏蔽了這個眼不見心不煩的煩惱？

就這麼小的一個點，這些年來一直出現各種對抗，出現個對抗又被修復。什麼是好郵箱？好郵箱就是這麼小的一個點，必須把控好安全與體驗的那種平衡：）

前面說了不可信郵件默認不顯示圖片，那如何可信呢？你想想？

另外，補充說明下：

像 Gmail 這樣全球最安全的郵箱，它會把郵件圖片下載到自己的 http://googleusercontent.com 域下：

這個域名和 Gmail 的域名不一樣，做了漂亮的分離；
圖片 Cache 到了 Google 自己可控的域下，安全可以很好保障；
Google 可以對這海量圖片做各種機器學習，多好。

EOF.

-----------------

來自我的微信公眾號「Lazy-Thought」，可以強勢收聽！

準確地說，是不下載外鏈圖片。如果客戶端處理外鏈，給你發郵件的人至少可以獲取：1、這封郵件被閱讀的時間；2、閱讀者的 IP 地址；3、其它閱讀者客戶端提交的數據，如 Agent 信息等。

確實可以執行代碼，這就是 CSRF 攻擊。比如如果圖片地址是像這樣的話：

http://admin:admin@192.168.1.1/userRpm/PPPoECfgAdvRpm.htm?wan=0lcpMru=1480ServiceName=AcName=EchoReq=0manual=2dnsserver=黑客伺服器dnsserver2=4.4.4.4downBandw=0upBandw=0Save=%B1%A3+%B4%E6Advanced=Advanced

訪問這種圖片可能一不小心你的路由器的 DNS 就被修改了，然後你就等著上網被劫持吧。

例子來自：https://fex-team.github.io/blog/2014/06/web-sec-2014/

反對前面幾乎所有答案。

市場調查目的的了鏈接不構成安全威脅,雖然這討人煩。就像cookie。這種是正常的市場行為。

真正的原因是這個————其實很多年前，瀏覽器處理JPG圖片也有類似的問題————這是個剛發生的事情

[cp]【惡意PNG：隱藏在圖片中的「惡魔」】在互聯網安全這場持久戰中，網路攻擊者一直在不斷改進自己的攻擊技術。安全研究人員發現，最新的Graftor木馬變種可以將惡意DLL文件內嵌到PNG圖片中，然後以圖片為載體隱藏並將惡意DLL下載到目標系統上，並能夠躲避殺毒軟體的檢測。詳情：http://t.cn/Rwl0OZf[/cp]

http://www.freebuf.com/articles/system/59594.html

做過一個郵件已閱讀通知

其實img鏈接是個track url

早年，discuz等論壇程序，是允許用戶在自定義頭像這裡引用外部圖片的。

結果陸續有站長開始利用(當年的)雅虎統計的代碼（一個圖片url即可），搜集別人的IP地址、瀏覽器、操作系統等。後來的discuz版本就禁了。

郵箱也是一個道理。現在，51la，cnzz等免費統計，都支持通過圖片url的方式進行統計。你可以註冊個號去試試。用這個方法可以統計別人家網站的數據。凡是點開你帖子的，都能統計到。

現在很多網站（比如知乎）插入圖片功能，插入外部圖片時，不會直接鏈入&，而是預先進行一些處理。也是這個原因。

你知道什麼是圖種嗎？

我以前也不相信圖片有風險，知道我看到了別人刷PSP用了雞蛋圖

263郵箱擁有的蜜罐技術和探針技術，都可以將大量的垃圾郵件發送地址給屏蔽掉，針對鏈接式的垃圾病毒郵件，會有專門的提示，同時263郵箱也是目前國內唯一一家可以有效防止圖片類垃圾郵件的郵件服務商，值得推薦給大家

說白一點就是圖片可以綁木馬，後果自已猜

其他人說的我不知道對不對

但我可以很確定的說EDM類型的網路釣魚發文字的效果跟發圖片的效果不是一個數量級

比如說騰訊安全中心釣魚，過各種條最終目的就是直顯圖片。

比如說釣銀行卡信息的垃圾郵件，文字是無法直接跳轉到釣魚網站，即使直接複製到瀏覽器，也都是亂碼

如果我沒理解錯，問題所說的意思就是不直顯圖片吧。如果理解錯了，那請輕一點摺疊我，我怕疼

圖片探針