Mehrere Gründe:

• Je mehr Inhalte in der E-Mail der Client lädt und interpretiert, desto größer ist die Wahrscheinlichkeit, dass die E-Mail eine böswillige Nutzlast liefert. Die relativ junge Sicherheitslücke im JPEG 2000-Rendering-Code fällt mir ein. Das bloße Anzeigen eines schädlichen Bildes kann gefährlich sein.

• Bilder in E-Mails werden häufig von Spammern und Vermarktern verwendet, um festzustellen, ob oder nicht Sie haben eine E-Mail geöffnet. Dies sagt ihnen implizit auch, ob die E-Mail erfolgreich zugestellt wurde und ob die Ziel-E-Mail-Adresse gültig war (nützlich für Spammer).

• Abhängig von Ihrer E-Mail-Plattform können Bilddownloads dies mitteilen Absender der IP-Adresse des Benutzers.

• Bild-URLs können theoretisch verwendet werden, um ein Netzwerk von innen anzugreifen. Beispiel:

<img src = "http://192.168.0.1/apply.pl?user=admin&password=admin&action=EnableRemoteLogin" >

Hoffentlich schlägt ein Angriff wie der oben genannte fehl, aber Sicherheitsleute ziehen es vor, die Gefährdung so weit wie möglich zu begrenzen.

Ich denke, hier müssen zwei separate Sicherheitsrisiken angegangen werden:

Bilder, die tatsächlich in der E-Mail enthalten sind. Wie einige berührt haben, besteht von Natur aus eine direkte Korrelation zwischen der Menge an Inhalten, die Ihr E-Mail-Client laden darf, und der Angriffsfläche Ihres Computers, während Sie diese E-Mail laden. Wenn Sie Ihrem System erlauben, Anhänge automatisch zu laden, ist es viel wahrscheinlicher, dass Sie auf eine schädliche Datei stoßen, die Ihren Computer gefährdet.

Hotlinks zu Remote-Inhalten. Dies wird am häufigsten blockiert, wenn Ihr E-Mail-Client etwas zum Effekt "Klicken Sie hier, um Bilder herunterzuladen ..." sagt. Nach dem Herunterladen werden diese Bilder möglicherweise in der E-Mail angezeigt. Sie werden jedoch tatsächlich auf Remote-Webservern gehostet. Es gibt einige Gründe, warum Sie verhindern möchten, dass diese automatisch geladen werden.

1. Ihre erste Sorge ist natürlich, dass die E-Mail ein Betrug ist und der Remote-Inhalt von einem Feind stammt Quelle. Dann sind wir wieder ähnlichen Risiken ausgesetzt wie bei Bildern, die sich tatsächlich in der E-Mail befinden.

2. Wie andere bereits erwähnt haben, ist dies etwas eines Datenschutzkompromisses. Sobald Ihr System den Webserver kontaktiert, um den Remote-Inhalt herunterzuladen, können dem Host dieses Inhalts einige Dinge mitgeteilt werden:

   • Ihre E-Mail-Adresse. (Daraus lässt sich schließen, dass die Adresse gültig ist und das Postfach regelmäßig überprüft wird.)
   • Ihre IP-Adresse.
   • Name und Version Ihres E-Mail-Clients.

   Es ist auch erwähnenswert, dass die Informationen, die über die Kenntnis Ihrer IP-Adresse und deren Zuordnung zu Ihrer E-Mail-Adresse verfügbar sind, Folgendes umfassen können:

   • Ihre Allgemeiner geografischer Standort.
   • Der Name Ihres Arbeitgebers und / oder Ihres ISP.

   Obwohl einige E-Mail-Adressen von Natur aus Informationen über Arbeitgeber / ISP / Standort enthalten, sind IP-Adressen Diese Informationen können unabhängig davon, was in Ihrer E-Mail-Adresse enthalten ist oder nicht, verloren gehen.

   Alle oben genannten Informationen können die zukünftige Ausnutzung Ihres Systems oder Phishing-Versuche gegen Sie persönlich erleichtern.

3. Eine andere Möglichkeit, sich dessen bewusst zu sein, ist der Remote-Webserver Auch wenn es auf den ersten Blick vollkommen freundlich ist, kann es zwischen der gesendeten E-Mail und dem Lesen zu einer Beeinträchtigung kommen. Ein Angreifer könnte dann den Remote-Inhalt (der sonst von einer Quelle stammt, die Sie kennen und der Sie vertrauen) durch einen eigenen ersetzen, wodurch wir wieder zu Punkt 1 zurückkehren.

4. Schädliche Links zu aktiven Remote-Inhalten im Gegensatz zu nur statischen Bildern können Ihrem System noch mehr Schaden zufügen. Wie bei @tylerl erwähnt, kann ein Image-Tag tatsächlich auf ein schädliches Skript oder einen anderen Inhalt verweisen, der Ihren Computer beschädigen oder unerwünschte Aktionen in Ihrem Namen ausführen kann. Indem das vollständige Laden von Remote-Inhalten eingeschränkt wird, wird dies vermieden.

ol>

Da beim Abrufen des Bildes vom Server Ihre IP-Adresse angezeigt werden kann, wird dies als Datenschutzproblem angesehen. (Das Bild kann beispielsweise von einem anderen Ort stammen als dem, von dem die E-Mail stammt.) Es bestätigt auch Ihre Existenz gegenüber Spammern. Sie können feststellen, dass die E-Mail geöffnet wurde, wenn das eingebettete Bild abgerufen wird, und sie können Kennungen zurückgeben, um festzustellen, welcher Empfänger sie geöffnet hat.)

Es hat mehr mit Sicherheit als mit Geschmack zu tun.

In Bilder sind Exploits integriert, mit denen Computer angegriffen werden können. Wenn ein Bild aus einer weniger vertrauenswürdigen Quelle stammt, sollte es blockiert werden.

Ein Punkt, den ich nicht behandelt habe (aber möglicherweise gesehen habe).

Ein Bild kann einem Benutzer so erscheinen, als wäre es eine Textseite, aber normalerweise wird es ein Spam- oder Sicherheitsfilterprogramm sein nicht in der Lage sein festzustellen, was ein Benutzer sieht und auf was er reagiert. Dies könnte durch eine geeignet fähige "Zeichenerkennungs" -Software bekämpft werden, aber ein Bild kann konstruiert werden, um Text zu erzeugen, der viele Erkennungsprogramme täuschen kann.

Die Entwurfsentscheidung, Bilder nicht automatisch in E-Mails zu laden, geht wahrscheinlich darauf zurück, dass die Zeilengeschwindigkeiten sehr variabel waren und Leute mit langsamen Zeilengeschwindigkeiten (die es heute noch gibt) nicht wollten, dass standardmäßig große Bilddateien heruntergeladen werden.

Als Randnotiz habe ich einen Cousin, der auf dem Land ohne Kabelfernsehen lebt und dessen Einwahlgeschwindigkeit über eine Telefonleitung die beste ist, die er zu Hause hat. Es ist sehr sehr langsam.

Zweifellos sind heutzutage höhere Leitungsgeschwindigkeiten die Norm, und es scheint, dass sich die Standardeinstellung geändert hätte. Zweifellos haben die Sicherheitsbedenken verhindert, dass sich der Standard ändert.