Zunächst ist es wichtig zu verstehen, welche Art von Bildern der Client nicht anzeigt. In Ihrem Fall handelt es sich, wie in der Nachricht angegeben, um Bilder, die "heruntergeladen" bearbeitet worden wären. Dies bedeutet, dass dies keine Bilder sind, die in die E-Mail eingebettet sind (mehrteilig usw.) , aber referenziert (HTML ) img usw.) .

Stellen Sie sich nun vor, welche Art von Informationen der Absender erhalten könnte, wenn Ihr Client ein vom Absender angegebenes Bild von einem vom Absender angegebenen Server herunterlädt.

Natürlich würde er Folgendes erhalten: Die genaue Zeit und, sehr wichtig, die Bestätigung, dass Sie die Nachricht überhaupt gesehen haben . Er könnte Sie leicht verfolgen.

Wer könnte solche Informationen wünschen und wofür? Spambots könnten überprüfen, ob die Adresse gültig und aktiv ist . ...

Wie funktioniert es praktisch? Angenommen, Sie sehen eine HTML -Mail an und sie würde so etwas wie diesen <img src enthalten = "http: //sendercontrolledserver/didviewmail.jpg? address = youremail @ yourprovider" width = "1" height = "1" / > . Ihr Client weiß nicht, was auf dem Server passiert, wenn er dieses Image anfordert. Die vom Server gelieferte Ressource muss überhaupt kein Image sein. Wie kann der Client dies vor dem Laden wissen? Sie konnten es auch bei dieser Größe nicht sehen.

Dies sind Ihre persönlichen persönlichen Daten, deren Offenlegung eine Bedrohung für die Privatsphäre darstellt.

Ein Grund dafür ist, dass das automatische Laden von Bildern verwendet werden kann, um Benutzer zu verfolgen, die die E-Mail öffnen (auf die gleiche Weise wie eine Lesebestätigung).

Angenommen, eine Marketingfirma sendet eine E-Mail an tausend Benutzer und für jeden Benutzer platzieren sie einen Link zu einem anderen Bild in der E-Mail (also erhält Benutzer eins image0001.jpg, Benutzer zwei erhält image0002.jpg usw.) und hosten die Bilder auf ihrem Webserver.

Diese Technik wurde von E-Mail-Marketing-Unternehmen verwendet und hat sogar 1x1-Pixel-Bilder in E-Mails aufgenommen, die sie sonst nicht enthalten.

Wenn diese Bilder von ihrem Webserver geladen werden, wissen sie das Der Benutzer hat die E-Mail geöffnet und das Bild angezeigt (da das Bild für den Benutzer eindeutig ist), sodass er im Wesentlichen die Aktionen des Benutzers verfolgen kann, die als Verletzung der Privatsphäre angesehen werden können.

E-Mail-Clients verwenden standardmäßig nicht die Bilder in E-Mails, um die Privatsphäre der Benutzer zu schützen.

Wenn Ihnen jemand eine E-Mail sendet, weiß er nur sehr wenig über Sie persönlich - insbesondere, wenn Sie einen öffentlichen E-Mail-Dienst verwenden.

Der Absender kann Links und / oder Bilder enthalten, die auf andere verweisen Server im Internet. Wenn Ihr Kunde eines dieser Bilder automatisch heruntergeladen hat, bedeutet dies, dass Sie automatisch auf einen Link klicken, ohne ihn zu lesen. Insbesondere die Art von Informationen, die sie daraus ermitteln können, ist der Client, den Sie zum Lesen der E-Mail verwenden (da dieser Client seinen eigenen Dienst verwendet, der den Server wahrscheinlich über den User-Agent-Header über das Herunterladen informiert). Ganz zu schweigen von Ihrer privaten IP-Adresse.

Wenn der Absender nun den Server besitzt, auf den sich die Bilder beziehen, haben sie höchstwahrscheinlich Ihren Client. Dies könnte eine alte Version sein, die sie ausnutzen können (Sicherheit), und zwar definitiv Haben Sie Ihre IP-Adresse (Datenschutz), mit der sie Sie persönlich angreifen können.

Als solche finden Sie das Qualitätsforum CMS (wie mein eigenes Husten :)) Verwenden Sie einen Image-Proxy, um die Identität der Mitarbeiter zu schützen, indem Sie vom Benutzer hochgeladene Bilder über den Site-Server herunterladen.

Ein Bild, auf das in einer HTML-E-Mail mit einem <img> -Tag verwiesen wird, befindet sich auf einem Remote-Hostserver und ist nicht als "eingebetteter Anhang" in der E-Mail enthalten. Der Remote-Server, auf dem sich das Image befindet, kann die IP-Adresse verfolgen, von der die Images heruntergeladen werden. Mit dem Aufkommen intern umgeleiteter URLs (wie sie von StackExchange verwendet werden, um "Permalinks" für dynamische Inhalte bereitzustellen) kann der Server die Anforderung für eine Bild an die E-Mail-Adresse, an die die Nachricht gesendet wurde, indem ein eindeutiger Teil der Anforderungs-URL überprüft wird (der möglicherweise keine Ähnlichkeit mit Ihrer E-Mail-Adresse oder anderen für Menschen lesbaren Identifizierungsinformationen aufweist oder eine mathematische Beziehung dazu hat).

Durch das Herunterladen der Bilder haben Sie dem Remote-Server nicht nur mitgeteilt, dass Sie die E-Mail erhalten haben (und somit die E-Mail-Adresse gültig ist), sondern dass Sie sie geöffnet haben (und somit waren) zumindest vom Betreff und / oder Absender fasziniert).

Wie von großen Unternehmen verwendet, mit denen Sie eine Online-Beziehung haben, kann dies mehr oder weniger harmlos sein. Wahrscheinlich haben sie Ihre E-Mail-Adresse bereits, weil Sie sie ihnen gegeben haben, und die Informationen, die darauf basieren, dass Sie Bilder herunterladen, sind nur Marketing-Flaum, der ihnen sagt, welche ihrer E-Mails Sie haben und nicht interessant genug zum Öffnen gefunden haben. Bei Spam kann das Herunterladen eines einzelnen Bildes Ihre E-Mail-Adresse "auf die grüne Liste" setzen, die dann an andere Spammer vermarktet wird. Die Anforderung des Bildes kann auch zur Installation eines Tracking-Cookies (oder zur Überprüfung von Cookies, die sich bereits auf Ihrem System befinden) führen, was Ihre Privatsphäre gefährden kann. Ja, es sind Exploits verschiedener Image-Formate bekannt, mit denen ein Angreifer Malware auf Ihrem Computer installieren kann.

Vergessen Sie nicht, dass Viren und andere Malware in eine Bilddatei eingebettet werden können.