По поводу этой штуки работает многоходовка, да и работает ли...?
Отсылаем мыло. В мыле img на вашем сайте, который запустит скажем php скрипт который узнает рефер (id письма) и вышлет еще одно письмо. С ссылкой XSS на первое письмо....
Даже если первое письмо удалят, оно валяется в удаленных и все равно сработает, т.к. второе письмо прилетит как только откроют перовое... НО надо ведь, что бы первое письмо открыли, а во втором письме прошли по ссылке конечно если разослать миллиону товарищей то возможно эффект будет...

ЗЫ Совсем забыла, XSS работает если в письме есть вложение.