1) сложно сказать, хорошобы еслиб ты привёл пример
2) письмо жертве посылается в html формате , где внедрён тег , который использует javascript - это и есть xss,
пример : <img src="javascript:alert()"> - вот , жертве не нужно ничего нажимать, скрипт сработает в любом случае
3) сессия, которая приходит на снифер "живёт" не долго, поэтому лучше, чтоб этот скрипт выполнял автоматически то, что ты хочешь сделать в почте
права ставь 777 ( rwxrwxrwx ) – не ошибешься ( а лучше почитай про права никсах)

__________________

md5( icq ) : fd7d5666e3329c168c41dc355c046d22