После прочтения разного материала выяснил несколько фактов:
1) Image XSS работает на всех известных мне почтовых службах(работает на момент написания поста).
2)кукисы тырятся.
3)XSS все-таки пассивная. Ибо рендеринг страницы происходит таким образом, что при вставке картинки непосредственно в тело письма, браузер не обрабатывает вложеный в нее код=(
4)данная XSS лично у меня заработала только с png-форматом=(

код вшитый в png'шку стандартный:
мэйл.ру обрабатывает на ура=)

осталась пара непоняток:
если вставить код наподобие
то например знак + не обрабатывается браузером....
и самое главное, как все-таки раскрутить активный XSS методом Image XSS?