EFAIL漏洞可能泄露加密邮件明文内容，Thunderbird建议用户不要停用加密邮件功能

Mozilla旗下的E-mail客户端软件Thunderbird在官方部落格公告，使用者应对EFAIL的方法，Thunderbird建议用户停用远端内容，以禁止图像、样式表或是影片在E-mail信件中显示，另外，还特别提到他们不建议用户停用加密功能，特别是传送内容属敏感资料，而新版本Thunderbird 52.8和52.8.1将会修补这个问题。

E-mail端到端加密技术OpenPGP和S/MIME被爆出，因标准定义不够严谨而导致加密邮件以明文曝光的EFAIL漏洞。骇客可以滥用HTML电子邮件的活动内容，像是外部载入的图像或是样式，透过请求URL来渗透邮件明文。知名开源E-mail客户端软件Thunderbird为此，在部落格发文告知使用者官方推荐的应对方式。

多数EFAIL漏洞的开采需要利用反向通道，且还需要骇客发送一封动过手脚的信件给使用者。因此Thunderbird提到，使用者被攻击的成立要素有二，第一、使用者有使用S/MIME或是透过Enigmail等扩充套件以PGP加密邮件。第二、骇客能够存取使用者的加密E-mail。唯有这两项要素同时具备，使用者才会曝露在EFAIL漏洞风险中。

而使用者在针对EFAIL漏洞修正的新版本Thunderbird 52.8和52.8.1释出之前，该如何自保？Thunderbird建议用户在客户端禁用远端内容（Remote Content），如此便能防止图像、样式表或是影片，在使用者读取信件时自动载入，Thunderbird表示，这将有助减缓骇客攻击力道，而Thunderbird原本就预设禁用远端内容。另外，使用者在读取含有远端内容的加密信件时，不要使用现在同意（Allow now）选项载入远端内容，而且也不应点击信件中的远端内容，如此同样会开启反向通道。

部分网站提到应停用E-mail加密功能，Thunderbird强调不要停用加密功能，特别是透过E-mail传送敏感资讯的使用者，加密功能仍然可以提供一定程度的防护效果。而电子前线基金会（Electronic Frontier Foundation，EFF）同样也在官方网站建议使用者，停用或是解除安装会自动解密PGP加密邮件的工具就好。