Elég ha kapsz egy olyan levelet aminek a törzsében benne van az exploit. Nem kell mellékleteket végrehajtani. Semmit sem kell, csak kinyitni és megnézni a levelet.
Hacsak nincs letiltva a html/js levél, és mindent defaultból cleartext nézel. Akkor talán még elmegy szódával :)