Уязвимости в Internet Explorer и Konqueror позволяют отсылать письма через встроенные FTP клиенты без всякого взаимодействия с пользователем. Оба броузера принимают %0a и %0d в URL, в адресе FTP они так же принимаются в части, в которой указывается имя.
Пример:
http://dsbl.org/testingground/IE-FTP-SMTP-link/
В теге IMG написано
ftp://foo%0d%0aHELO mail%0d%0aMAIL FROM%3a<>%0d%0aRCPT TO%3a
что позволяет отсылать письма.