Cliente de correo electrónico

[2]​ El correo electrónico, inventado en 1971 por Ray Tomlinson y tal como lo conocemos hoy,[3]​ hace el mismo trabajo pero mueve los mensajes entre distintas máquinas conectadas ya sea en una red de área local o por Internet.

Un cliente de correo electrónico debe soportar el protocolo libre POP3 para descargar los mensajes y una vez realizada exitosamente dicha acción el servidor de correo electrónico procederá a borrarlos del buzón correspondiente (se delega en otros programas las tareas de respaldo y auditoría).

El Extensible Markup Language (XML), también soportado por medio de MIME, ofrece a futuro una mayor funcionalidad debido a que está propuesto como estándar para el intercambio de información estructurada entre diferentes plataformas.

[8]​ Así como en la vida real el correo es enviado por un usuario mediante sobres sellados de tal manera que en su exterior se pueda leer el destinatario y el remitente, en el correo electrónico se creó un protocolo de cifrado de documentos que se adaptó a los clientes de correo electrónico (y a muchos otros software, en realidad) el cual es llamado Pretty Good Privacy o PGP.

De esta manera el cliente de correo electrónico que lo recibe e interprete se conecta a otro servidor para descargar dicha imagen permitiendo así al atacante saber que el mensaje fue leído, además de otras invasiones a la privacidad (dirección IP, por ejemplo).

[9]​ Actualmente los clientes de correo electrónico no muestran imágenes o contenido externo a menos que el usuario lo acepte en los cuadros de diálogo emergentes al momento de mostrar el mensaje a petición del usuario, generalmente haciendo clic en el mismo.

[16]​ Enviar los mensajes cifrados sin utilizar HTML (o sea, utilizar únicamente texto plano) no evita que el atacante agregue código HTML infectado al mensaje cifrado interceptado y lo reenvíe a las víctimas (quienes sí pueden deshabilitar la visualización del HTML para protegerse).

Otra opción es no descifrar los mensajes con el cliente de correo electrónico sino exportar el fichero a un programa que se encargue única y exclusivamente de realizar dicha tarea,[17]​ y cortar así la comunicación con el atacante.

[18]​ A mediano plazo, evidentemente, los clientes de correo electrónico deberán "parchar" y liberar versiones que eliminen la fuga de información tanto cifrada como parcialmente cifradas.

Captura de pantalla de Mozilla Thunderbird 1.5.10.
Efail describe las vulnerabilidades de los clientes de correo electrónico que filtran el texto sin formato de correos electrónicos previamente cifrados con las tecnologías de extremo a extremo como OpenPGP y S/MIME.