[安全] Outlook 預設無法顯示網路上的圖片才是正常的設計

最近在論壇上看到一些很瞎的言論，很多人認為 Outlook / Live Mail 是一種很爛的設計，應該改掉或換軟體，這才是錯誤的觀念。

隨著多媒體社會到來，eMail 弄得美美的是常見的行為，因此 eMail 內有圖片，感覺就是高大上。

圖片有兩種方式放在 eMail ，一種是嵌入，一種是網路上的來源。

嵌入就是把圖片直接包含在 eMail 內，一般使用者在寄送 eMail 時，預設行為是嵌入，也就是說你正常在 Outlook 或其他郵件軟體寫信的時候，你只能使用這種模式。

網路上的來源表示，圖片是用參照的方式伴隨 eMail 寄送，瀏覽信件時才下載，通常是廣告信軟體或是從網頁剪貼內容貼到 eMail 時，才會變成網路上的來源。

因此嵌入的信件，圖片所占用的網路流量是寄送時發生，讀取時不會再產生，可離線閱讀。

網路上的來源，圖片所占用的網路流量是讀取時發生，每次讀取時，每次下載圖片，因此不能離線閱讀。

正常來說，你寄信給對方，對方通常會看，所以圖片嵌入信件才屬正常，所以一般往來郵件都會正常顯示。

但是廣告信通常會被歸類為垃圾郵件，很多會在 Mail Server 就被擋掉，用 WebMail 可能會看到一堆垃圾郵件根本就沒收到 Outlook 內，使用者根本看不到，所以廣告信被讀取率大概在 5% 以下，內嵌圖片的話，對於寄信端網路流量壓力太大，因此透過網路上的來源可以節省 95% 以上的網路流量，可降低網路使用成本。

所以早期的 Outlook 是允許直接出現網路上的來源。

大概是在 2004/07 左右的安全性更新，預設行為改成不讀取，需要使用者變更安全性設定。

又為哪樁？

隨著 eMail 大量使用，廣告信業者或是惡意郵件根本就不知道那些 eMail 還有人在用。比如說 01@gmail.com ~ 10@gmail.com 共 10 個連號郵件，可能只剩 5 個還有人用，其中可能只有 1 個是活躍 (經常使用) ，或是整個系統的 spam 都被過濾了，那麼蒐集到的有效 eMail 實際上可能只有 10% ，浪費流量在不存在的 eMail 中，根本是浪費成本，所以可以透過很簡單的小技巧，例如在信件內的網路上來源使用自管的 web server 圖片，內容為：

<img src='http://自管webserver/路徑/圖片.jpg?eMail=你的信箱' />

當圖片被讀取時，就可以知道這個信箱使用中，使用者目前在哪國用哪家業者網路上線，配合反追蹤 (trace router) 還可以大致鎖定城市，甚至依據 Agent 的內容，還可以探知作業系統版本，使用哪種瀏覽器，幾點第幾次讀取。

基於保障用戶的隱私，預設值變成不讀取，如下圖。

預設不下載圖片

藍色框框是 Outlook 提醒你這是正常的狀況，你可以自己變更。

綠色框框是發信單位都知道這個預設情形，所以直接給你超連結，讓你改用網頁瀏覽，但如果不是可信任的寄件者，請不要點選。

安全與方便是取捨問題，要更多的安全，就是不方便，要更多的方便，就是不安全。

要讀取圖片，點上圖紅色框框，可以變更：

允許下載圖片

• 僅這封郵件要有圖片，點選「下載圖片」。
• 要讓這個廣告信發信者以後都自動下載圖片，點選「新增寄件者至安全的寄件者清單」。
• 要讓這個廣告信公司，例如玉山銀行，以後都自動下載圖片，點選「新增 xxx 網域至安全的寄件者清單」
• 要變更所有圖片自動下載的設定，點選「變更自動下載設定」，如下圖：

變更自動下載

把「不自動下載 HTML 電子郵件訊息或 RSS 項目中的圖片」勾勾拿掉。(不建議)

下載過圖片的信件，之後不管第幾次開啟，都會自動載入圖片。

自動下載圖片

廣告信要直接內嵌圖片可參考這篇做法：[VBNET] 在 HTML 郵件內加入樣式庫