惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

P
Palo Alto Networks Blog
大猫的无限游戏
大猫的无限游戏
Martin Fowler
Martin Fowler
GbyAI
GbyAI
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
量子位
T
The Blog of Author Tim Ferriss
Y
Y Combinator Blog
Microsoft Azure Blog
Microsoft Azure Blog
C
CERT Recently Published Vulnerability Notes
Recent Announcements
Recent Announcements
A
About on SuperTechFans
aimingoo的专栏
aimingoo的专栏
P
Privacy International News Feed
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
博客园 - 叶小钗
L
Lohrmann on Cybersecurity
G
GRAHAM CLULEY
T
The Exploit Database - CXSecurity.com
Hugging Face - Blog
Hugging Face - Blog
P
Proofpoint News Feed
NISL@THU
NISL@THU
博客园 - Franky
C
Cybersecurity and Infrastructure Security Agency CISA
The Register - Security
The Register - Security
M
MIT News - Artificial intelligence
Know Your Adversary
Know Your Adversary
A
Arctic Wolf
F
Full Disclosure
T
Threat Research - Cisco Blogs
P
Privacy & Cybersecurity Law Blog
The Hacker News
The Hacker News
博客园 - 【当耐特】
D
Docker
T
Tailwind CSS Blog
S
SegmentFault 最新的问题
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Jina AI
Jina AI
Help Net Security
Help Net Security
V
Visual Studio Blog
小众软件
小众软件
B
Blog
Vercel News
Vercel News
云风的 BLOG
云风的 BLOG
N
News and Events Feed by Topic
Forbes - Security
Forbes - Security
N
Netflix TechBlog - Medium
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
C
Cisco Blogs
Security Archives - TechRepublic
Security Archives - TechRepublic

少数派

派早报:Google 发布 Fitbit Air 等 - 少数派 「新人报到」確認需求,再開始 - 少数派 从 SOLO 独立开发者社区,我看到了越来越多开发者开始做自己的产品 - 少数派 我怎么管理那些"不常做,但总会忘"的生活事项 - 少数派 人形机器人量产元年,数据才是具身智能的“生死线” - 少数派 BuhoLaunchpad 高度还原 Mac 启动台:开发历程与思考 - 少数派 五年陪伴依然不舍,DIY 换壳后让罗技 MX Master 3 继续服役 - 少数派 新玩意 240|少数派的编辑们最近买了啥? - 少数派 一日一技|为什么你应该关闭 iOS 的键盘声音 - 少数派 我做了个插件和 Skills,一键提取任何网站的设计规范 Design.md - 少数派 住在三四线城市的你,该开始录播客了 - 少数派 甘南秘境,大白高国 - 少数派 AI的审美:谁让把我变成川内倫子 - 少数派 返工怎能不烦恼,打工人片单总有一部是你的「嘴替」 - 少数派 为了让「上厕所」更健康,我做了一个小工具 - 少数派 AI + Skill,能够让生成的文章去除 AI 味吗? - 少数派 新玩意|韶音OpenDots ONE 耳夹式耳机 - 少数派 《美满》| 在每一个春天的晚上相爱(362) - 少数派 新玩意|优篮子 PS01 MagSnap 磁吸支架 - 少数派 自我整合手记 | 我开始早睡了:用稳定规则,为自由托底 - 少数派 用龙虾(OpenClaw)两个多月,我最深的12个体会 - 少数派 听歌时间到,12 张你可能错过的 2025 华语乐坛好专辑 - 少数派 承诺能追吗 - 少数派 macOS 26启动台没了? 我做了个不一样的App启动器 - Keboard - 少数派 《四海为家的人》| INTJ对话INTJ(361) - 少数派 你发过的那些黑历史,是时候一次清干净了 - 少数派 新玩意:安安静静玩,越玩越专注:计客密码机 - 少数派 iPad 用户首次体验 Android 平板:vivo Pad6 Pro - 少数派 数据逻辑强 - 少数派 极北行+ | 一路向北,探访日本至北之地 | 001 - 少数派 万字剖析:千问App深度体验报告(2026) - 少数派 在2026年,如何真正防止别人抄袭你的作品 - 少数派 怎么用 50 块搭个 AI 语音助手?我踩了 3 天坑 - 少数派 YeeroAI:让 AI 对话真正成为知识管理的一部分 - 少数派 爬泰山 - 少数派 「旅图显影」 App 更新:这次,我们补上了一点「手感」 - 少数派 假期出门太折磨?我的 23 条经验帮你规划惬意旅行 - 少数派 工作流会变吗 - 少数派 Claude Opus 4.6 怎么用最省钱?我测了 5 种方案 - 少数派 GPT Image 2 让图文并茂不再稀罕 - 少数派 用户侧出发——什么是AI,我要不要学习? - 少数派 找片、转存、整理、播放一条龙!让你的付费网盘值回票价 - 少数派 欢迎试用!日课一问2.0插件 - 少数派 自己做的MDeditor,原本想购买 Typora 试了两次支付不成功,干脆自己做一个 - 少数派 vibe coding了一个 3MB 的小工具,让 ~/Downloads 彻底告别混乱 - 少数派 因为受不了 Mac 的风扇策略,我做了一个风扇控制工具 - 少数派 别只怪模型 - 少数派 Warp 终端的 AI 功能怎么用?我测了一周的体验 - 少数派 AI 写代码老是出 bug?这 5 个配置我后悔没早知道 - 少数派 「新玩意」苹果出相机可能就这样:Sigma BF + 45mm F2.8 DG Contemporary - 少数派 一个面向2030年的AI操作系统是什么样子的:浅谈cola这款有灵魂的Agent - 少数派 别只看写代码 - 少数派 每天解决10个问题,还是一口气攻坚解决400个? - 少数派 AI 交易机器人怎么搭?我用 Claude 跑了一周实盘 - 少数派 Maptoposter Online:把你爱的城市画成艺术海报 - 少数派 Function Calling 怎么用?我测了 3 个模型发现差距真大 - 少数派 Legend Talk:我做了个 AI 圆桌,让 160 位思想家围着你的问题转 - 少数派 如何找到自己的蓝方?在小县城寻找压力测试 - 少数派 语音输入与软件接口|2026年聊AI时,我们都聊些什么(上) - 少数派 混动已经卖爆,纯电又来补刀——钛7闪充版简直“不讲武德” - 少数派 本月玩什么|朋友收藏、识质存在、沙罗周期 - 少数派 为什么要每天坚持输出? - 少数派 Claude API 挂了好几个小时,你的项目有备用方案吗? - 少数派 Function Calling 没你想的复杂——我用它做了个有点用的工具 - 少数派 登录系统立即播放视频或者图片音乐的软件 - 少数派 我为什么创建 FlipHTML5 下载工具 - 少数派 残局没电?多品牌外设电量统一管理软件EasyBluetooth已支持RTSS游戏内显示以及AIDA64 - 少数派 前往通义路的路 - 少数派 太好看了,媲美Sun的个人导航页,NAS部署星云门户 - 少数派 乌黑嘴唇“一键检测”上线了 - 少数派 派早报:Claude AI 接入多个创意软件生态、FILCO 生产方接手品牌等 - 少数派 【更新】BearCLI、Claude 连接器与 MCP 服务器 - 少数派 记了上千条流水,还是看不懂财务?我做了一个让 AI 读懂账本的工作台 - 少数派 MINI R56 升级原厂 Sport 模式 - 少数派 新玩意 | 一棵柠檬树(仿真版) - 少数派 Momenta的“物理AI”野望,需迈过“含摩量”这道关 - 少数派 网页直接投屏控制手机!NAS一键部署PandaScrcpy,流畅丝滑可远程。 - 少数派 众测|邀你一同探索随身 AI 硬件入口 YoooClaw C·ONE - 少数派 2050大会:分享时间是真诚 参会记 - 少数派 iPad 赋能电影创作:国内首部宣纸手绘长片《燃比娃》的幕后故事 - 少数派 AI的审美:我用 8 个大模型给 100 张旅行照片打分 - 少数派 普通人如何破圈?去参加一个本地协会 - 少数派 把极空间的图标全换了,主题DIY全攻略打造你的专属NAS桌面 - 少数派 电子便签墙,帮你实现便签自由 - 少数派 我如何用三个 CLI 工具取代文档创建需求 - 少数派 原来真的有人可以玩一辈子 - 少数派 社区速递 139 | 派友热议三月买了啥、复古单反尼康 Df 体验 - 少数派 06 作品的赏析与评价 - 少数派 TDS REVIEW|索尼 WF-1000XM6 降噪真无线耳机体验 - 少数派 35.98万起售的第二代腾势D9,我看重的不是堆料,而是不凑合 - 少数派 鼠须管 Squirrel 皮肤配置指北 - 少数派 从watch ultra2换到redmi watch6 - 少数派 派早报:阿里巴巴发布视频生成模型 HappyHorse 1.0 等 - 少数派 别迷信1M - 少数派 家人们天塌了!网盘“大封杀”,多个渠道多条路,NAS部署PanHub - 少数派 AI与人勾心斗角!NAS一键部署AI狼人杀,假日休闲必备。 - 少数派 电商必备!Comfyui工作流批量生图插件,一次生成12张!支持Nano banana pro模型 - 少数派 Comfyui工作流配置Gpt-image-2模型教程,0.03/张 - 少数派 OpenClaw第三方APi怎么配置?可使用Gpt-image-2模型 - 少数派 会员社区话题精选 Ep. 103 - 少数派
不想被广告邮件追踪个人信息?这篇文章教你如何防范 - 少数派
2018-02-08 · via 少数派

引言

浙江温州最大皮革厂江南皮革厂倒闭了!我们没有办法,拿着钱包抵工资!原价都是100多、200多、300多的钱包,统统20块!回复 T 退订。

经过与垃圾短信多年的斗智斗勇,我们现在对上面那种信息已经见怪不怪了。而且我们都知道,收到这种短信,不管是发送「T」还是「复 T」都不能让江南皮革厂更快倒闭;相反,回复行为相当于告诉对方这是一个真实有效的手机号,从而变本加厉地给你发送广告。对于这种垃圾信息,最省事的方法是直接拉进黑名单,一了百了。

其实,在垃圾信息的另一个重灾区——电子邮件中,类似的手法也是很普遍的。推广邮件的发送者往往都是通过向第三方批量购买邮件列表获知我们的邮箱地址的,他们很难事先知道买来的列表中到底有多少地址真实有效。因此,追踪发出的推广信息是否被打开、被怎样的用户打开,是其迫切的需求。

「幸运」的是,电子邮件无论在功能还是容量上都比短信丰富得多,推广邮件的发件人不依靠「回复 T 退订」这种文字游戏,也有五花八门的方法可以追踪用户的信息。下文中,我们将介绍其中两种常见的追踪手法及其应对策略,并通过演示进一步加深实际感受。

手法一:利用「隐形图片」追踪邮件阅读情况

1. 原理

我们知道,电子邮件按照其内容格式,可以分为纯文本邮件和富文本邮件两种,目前用得最普遍的是后者。打开一封富文本邮件和打开一个网页并没有什么区别——它们都是使用 HTML 来标记的,也都支持嵌入各种媒体文件。因此,只要在电子邮件中引用一张位于远程服务器上的图片,邮件客户端就会在打开邮件时向该服务器发起下载图片的请求。于是,服务器的控制者只要查看请求记录,也就间接知道了邮件是否、何时被打开,收件人使用了什么客户端,IP 地址是什么等信息。

用隐形图片追踪邮件的原理
用隐形图片追踪邮件的原理

这正是很多推广邮件用于追踪阅读情况的手法。原则上,在邮件中嵌入任意远程内容,都可以实现追踪效果;但实践中用的更多的做法是在邮件末尾插入一张 1*1 像素的纯白色/透明图片,因为这对邮件内容的影响最小,也最不容易引起收件人的注意。

2. 防范

那么,如何应对这种追踪方式呢?很显然,这种手法的关键点在于客户端从远程服务器上下载那张隐形图片,因此只要阻止这一请求的发生就可以了。需要说明的是,很多客户端出于用户体验考虑,都会预先加载未读邮件的内容,以减少用户的等待时间。因此,即使不打开邮件,也可能在不经意间载入这些追踪图片。

好在,绝大多数的邮件客户端都会禁止被判定为推广内容的邮件自动载入图片等远程资源。但是,客户端的筛查机制并非百发百中;如果想彻底防御这种追踪,可以设置对所有邮件关闭加载远程资源功能。几乎所有的客户端都提供了这一选项。例如,Mac 的原生邮件 app 用户可以打开 邮件 > 偏好设置,在 查看 选项卡中取消勾选 加载信息中的远程内容。iOS 的原生邮件客户端则可以关闭 设置 > 邮件 中的 加载远程图片 开关。

在 Mac 的邮件 app 中对所有邮件关闭加载远程资源
在 Mac 的邮件 app 中对所有邮件关闭加载远程资源

另外,用一个独立的邮箱来注册网上的各种服务并集中收取推广邮件也有利于对抗这种追踪。这是因为,Gmail、Outlook 这些较为优秀的邮箱服务不仅能更有效地过滤出垃圾邮件,从而自动阻止加载其中的追踪代码,而且还会对邮件中的各类链接进行处理,用其自己的服务器代理获取其内容并进行安全检查。这样,即便加载了这些追踪图片,你的 IP 地址等隐私信息也不会被暴露给发件方。

3. 演示

为了加深对这种手法的体会,我们不妨通过实验来说明其实现机制。提供邮件追踪的服务有很多,这里以 GetNotify 为例。注册账号后,在任何客户端中用该注册邮箱发信时,只要在收件人的邮箱地址后加上 .getnotify.com,GetNotify 就会在你的邮件末尾嵌入一张隐形图片,并开始追踪其阅读状态。

例如,如果你想追踪发送给 mike@hotmail.com 这一地址的邮件,只需将收件人填写为 mike@hotmail.com.getnotify.com。这一操作对收件人是透明的,即对方在邮件中仍然只会看到自己的地址。

我们通过 GetNotify 给自己的另一邮箱发送一封测试邮件,并在收到后打开阅读。很快,发件邮箱就收到了 GetNotify 发出的已读通知。告知其被阅读的时间、客户端的类型和 IP 地址等信息。事实上,这封邮件每被阅读一次,都会被记录在案并向你通知(默认通知前三次,最多可以设置为前 50 次)。

GetNotify 的已读通知
GetNotify 的已读通知

此外,还可以在网页端的 Outbox 页面查看每封通过 GetNotify 追踪邮件的被阅读详情。

GetNotify 的网页端统计页面
GetNotify 的网页端统计页面

下面我们检查一下经过 GetNotify 处理的电子邮件,看看它是否符合前面说明的原理。打开这封测试邮件的源码,可以看到末尾处被插入了一段代码,其内容正是引用一张尺寸为 1*1 像素的远程图片。

GetNotify 对邮件的处理方式
GetNotify 对邮件的处理方式

我们将其中提到的图片地址复制出来,在浏览器中手工访问。很快,GetNotify 的后台就反映出这封邮件再一次被「阅读」了。这就印证了 GetNotify 的追踪方式正如前文所述。

手法二:通过邮件中的跳转链接记录用户信息

1. 原理

另一种实现追踪的方式是通过邮件中的链接。当用户点击链接时,其访问时间、IP 地址等信息就会暴露给发件方,从而为其后续发送邮件或定制推广内容提供线索。

可能有读者会问,邮件中的链接指向的地址未必都是由发件人管理的,对方如何知道用户是否访问了一个第三方的地址呢?

其实,只要右键复制链接地址检查一下就能发现,推广邮件中的链接地址几乎都不是浏览器最终打开的页面地址,而是一个冗长、不可读的「跳转地址」。这种链接的原理和我们常用的「短链接」如出一辙,都是利用了 HTTP 协议中的重定向功能。当用户访问这种链接时,浏览器会收到一个值为 301 (Moved Permanently)302 (Move Temporarily)HTTP 状态码,并在响应的 Location 字段获知真正应当访问的地址。

这就好比你根据邮件中留下的「地址」去敲门,结果被告知要找的人已经搬走了(301)或者暂时外出(302),应该去另一个地方(Location)找。而正是中间这番波折,让发件方得以获知你的访问情况。

用跳转链接追踪邮件的原理
用跳转链接追踪邮件的原理

2. 防范

很显然,与嵌入图片这种「全自动」的追踪方法相比,跳转链接有一个天生缺陷——它需要用户手动操作。但实践中,很多用户出于随意和好奇,经常轻易点击邮件中具有诱导性的链接;因此,这种方法很多时候反而比容易遭到屏蔽的追踪图片更加有效。

更应当指出的是,除了隐私方面的担忧,这种跳转链接还存在很高的安全风险,因为它「掩盖」了真实的链接地址。经验丰富的用户都知道,观察链接地址本身就足以让我们获取很多信息。例如,如果收到一封看似来自苹果的邮件,告知你 Apple ID 的安全风险并要求重置密码,但其中的链接指向的却不是 apple.com,而是 appleid.cc 之类的冒牌域名,那么很显然是不值得信任的,应当忽略这封邮件并直接拉黑删除。但是,如果邮件中嵌入的是跳转地址,那么只有点击后才能知道它到底指向何方,而或许它指向的正是一个含有恶意代码的网址。

显然,对于邮件中的跳转链接,最简单但也是最有效的防范方式就是保持警惕,不要轻易点击任何不明来源的推广邮件中的链接。目前,很多邮件服务商都提供了链接地址安全性检测的功能,会自动检查并标记内嵌链接的安全等级,帮助用户进行判断。像 Outlook 这样的服务,还会在外部链接上再「套接」一层自己的跳转链接,在点击链接时先帮用户「试毒」。结合这些辅助机制,就能在较大程度上防止误点恶意链接。

Outlook 等服务会在邮件链接上增加一层用于安全验证的跳转
Outlook 等服务会在邮件链接上增加一层用于安全验证的跳转

此外,进阶用户还可以通过 HTTP 请求中的 HEAD 方法,在不真正访问链接内容的前提下获取跳转链接的真正地址。在终端中运行:

$ curl -I 链接地址

响应中的 Location 字段就是跳转链接真正指向的地址,接着就可以通过观察该真实 URL 决定是否打开。(经过测试可以发现,curl -I 操作本身不会被 MailChimp 或 bit.ly 的跳转链接追踪并记录。)另外,iOS 用户可以通过 OpenTerm 这款免费 app 在移动端运行 curl 命令,或使用网页版工具

在 iOS 上用 `curl` 查看跳转链接的真实地址
在 iOS 上用 `curl` 查看跳转链接的真实地址

3. 演示

我们还是通过实验来感受一下这一手法的效果。目前,相当多数的推广邮件是通过 MailChimp 这一平台发送的。(需要指出的是,不要把 MailChimp 和垃圾邮件挂钩;相反,这是一个用户体验设计非常优秀的服务,很多独立内容创作者的 Newsletter 都是通过该平台发送的。)我们注册账号,创建一封测试邮件并发送,然后在收件邮箱中打开并尝试点击其中的链接。

用 MailChimp 发送测试推广邮件
用 MailChimp 发送测试推广邮件

这时,通过网络调试工具查看点击链接后发生的网络请求,可以看到该地址返回了一个 302 重定向,随后浏览器开始访问真正的地址。

打开跳转链接时收到的响应
打开跳转链接时收到的响应

与此同时,MailChimp 的后台中已经反映出邮件及其中链接的打开情况。

MailChimp 后台的统计信息
MailChimp 后台的统计信息

总结

以上就是推广邮件追踪用户阅读状况和其他信息的两种常见手法。它们的原理都不复杂,但都较为隐蔽,利用的是用户的疏忽大意,因此比较容易得手。我们针对两种方式分别给出了应对方法,可以看出,除了必要的谨慎态度和技术措施,选用靠谱的邮件服务、培养良好的邮箱使用习惯,同样是对抗邮件追踪的重要途径。

另外,在非自愿收到推广邮件后,不应直接删除了事,而要根据不同情形采取对应措施,防止继续收到类似邮件。如果该推广邮件是来自于 MailChimp 等较为知名的群发平台(可以通过检查邮件中链接的 URL 来判断,如 MailChimp 发出邮件的跳转链接域名为 list-manage.com),那么可以直接点击邮件末尾的 Unsubscribe 链接来退订。这些公司受到美国的 CAN-SPAM 法案规制,其提供的退订链接必须是明示、有效的,因此可以确保退订后不再被打扰。

相反,如果推广邮件并非来自这些规范平台,或是广告商自行炮制的,那么点击其中的退订链接可能未必有效,反而会起到暴露邮箱有效性的相反效果。对于这种地址,直接标记为垃圾邮件并加入黑名单可能是更有效的应对方式。