1. XSS
При получении письма в html-формате, url картинки из img тэга добавляется в onerror событие. чтобы получить всплывающее окно с cookies, нужно отправить письмо вида
2. Mail Forwarding
При создании почтовых фильтров возможна передача параметров методом get. при этом нет никакой дополнительной проверки. Если пользователь перейдет по ссылке вида то отныне вся входящая почта будет пересылаться также на адрес xakep@antichat.ru. С помощью <?php header() ?> + apache + mod_rewrite можно похищать почту пользователей с незавершенными сессиями на yandex.ru, например, на этом ресурсе, используя img bbcode.