如下图所示：

钓鱼邮件发送方将一封名为“关于填报2019年xxxx工作的通知”的邮件作为转发邮件内容放置在正文中，再伪装成回复该邮件的样子，诱导被攻击者点开真正的钓鱼链接。相较于普通钓鱼邮件，该种钓鱼邮件迷惑性强，收信人收到一封全篇99%的内容为正常内容的邮件时很容易放下警惕，这也正中钓鱼邮件发送者的下怀。

该类钓鱼邮件具有以下特征：

1. 标题虽然是“回复/答复/转发/Fwd”等像是转发邮件，但缺少转发邮件相关邮件头

2. 邮件开头多为“check file/view document”等字样加上一个钓鱼链接

3. 钓鱼邮件发送者用以混淆的正常邮件内容多为过时信息，其发送时间多为1~2年前

目前启发式规则已提取相关特征，能对该类钓鱼邮件进行拦截。