这里——列表中的第 5 项——建议不要回复匿名电子邮件,因为可能会被感染。我知道曾经有一段时间这是可能的因为 JavaScript。但是现在,这还是个问题吗?尤其是对于 Gmail 等安全性更高的电子邮件服务。
答案1
回复域名注册邮件的风险来自于社会工程劫持的边缘风险,而不是真正被“感染”。
这里(列表中的第 5 项)建议不要回复匿名电子邮件,因为可能会受到感染。
看着您正在链接的页面上的第 5 项表明这些都与基本的最终用户电子邮件感染无关:
5. 请勿回复(或点击任何链接)任何您不认识的与域名相关的电子邮件。另外,请注意不要回复任何来自您不认识的公司邮寄的“看似官方”的续订通知。众所周知,域名劫持者和不道德的注册商会提交大量转移,希望一小部分困惑的注册人会意外确认转移。如有疑问,请联系您的原始注册商以验证任何可疑消息。
读完之后,很明显,该建议是关于如何避免欺诈性域名注册转移和相关域名注册商变更。这意味着,如果您确实收到来自真实域名注册商的电子邮件通知,告知您“需要您采取行动”才能完成某个流程,请不要采取行动。否则,您将面临启动某个流程的风险,而其他人(不是您)可能会从您手中窃取您的域名。
话虽如此,这些说明似乎相当陈旧。该页面的版权日期为 2009 年,但即使在那时,通过这种方式窃取域名注册也不是那么“神奇”容易。
现实情况是,如今域名注册变更需要更多的制衡——以及更多的“社交工程”技能(即:成为一个彻头彻尾的骗子)——而且不能简单地通过触发一封简单的电子邮件来影响。因此,虽然这个建议有些道理——忽略不需要的电子邮件总是好的——但它也有点偏执。
关于回复电子邮件的核心问题——一般来说——存在感染风险。
我知道,以前这可以通过 JavaScript 实现。但现在,这仍然是一个问题吗?尤其是对于 Gmail 等安全性更高的电子邮件服务。
通过回复电子邮件感染病毒的可能性相当低,因为回复有绝不成为媒介。曾经存在的唯一电子邮件感染风险来自看着于——或开幕—电子邮件,因为如果电子邮件包含 HTML 内容,则曾是HTML 的风险可以包含嵌入的恶意 JavaScript。
某些电子邮件浏览器/程序曾存在这种风险,它们没有正确过滤/停用电子邮件中的 JavaScript,例如 Microsoft Outlook,它将 HTML 电子邮件视为 HTML 网页。将 HTML 电子邮件视为 HTML 网页这一简单行为,只要查看电子邮件,就会为感染打开相当大的大门。
所以你认为现在有更多的保护措施是完全正确的。主要的“保护”在于任何真正有能力现代电子邮件浏览器/程序就是不是在显示 HTML 电子邮件内容时,根本不运行 JavaScript。如本页所述“电子邮件 HTML 的注意事项”:
不要使用 Javascript。它会被忽略,甚至被视为安全风险。一旦有人收到有关您的某封电子邮件的安全通知,他们就不太可能再打开另一封电子邮件。
我能想到的唯一边缘风险是,如果你以某种方式使用了过时的基于浏览器的电子邮件客户端,而该客户端没有主动过滤 HTML 电子邮件中的 JavaScript。在这种情况下,基于浏览器的电子邮件程序只会在 Web 浏览器中显示 HTML 电子邮件。这当然只会显示电子邮件的 HTML 内容,就好像它是一个纯 Web 浏览器 HTML 页面……JavaScript 和所有内容。但就像我说的,那是严格如今,这是一种边缘风险,但如果您以某种方式遇到并且需要使用基于浏览器的电子邮件程序,您应该意识到这种风险。
答案2
经常建议删除垃圾邮件而不打开的原因是为了限制向垃圾邮件发送者提供的反馈。
理想情况下,我们希望垃圾邮件发送者无法区分被垃圾邮件过滤器捕获的电子邮件和穿过垃圾邮件过滤器但被用户识别为垃圾邮件的电子邮件。
如果垃圾邮件发送者能够辨别这两种情况的区别,他们就可以自动调整垃圾邮件,以绕过垃圾邮件过滤器。
回复电子邮件、点击电子邮件中的链接或加载外部文件以呈现所有内容都会向垃圾邮件发送者提供反馈,而这是我们想要避免的。
在某些情况下,给出的建议并没有解释其背后的原因,有时甚至隐含着不遵循建议会导致您的计算机感染病毒的原因。尽管存在漏洞,可能导致此类感染,但这绝不是提出该建议的主要原因。
正如@Giacomo1968 的回答,您链接到的页面提供了另一个不回复或点击任何链接的理由。该原因针对的是与域管理有关的特定工作流程。但是,它可能适用于其他工作流程,并且通常任何垃圾邮件都可能是社交工程攻击的一部分。有时,这些社交工程攻击可能非常复杂,即使是最有安全意识的用户也可能发现电子邮件可疑,但完全无法解释它如何作为社交工程攻击的一部分有用。
无论是所有三个原因还是只有一个原因适用于特定电子邮件,建议都是一样的。有些用户只记住了建议,而没有记住背后的原因,这让他们相当满意。