HTML允許將鏈接顯示為任意文本，而不是完整的URL，一個(gè)鏈接可能只顯示其中的一部分或只是一個(gè)易于用戶識(shí)別的目標(biāo)名稱。這可能被用于釣魚式攻擊，譬如，用戶可能誤以為鏈接指向的是權(quán)威來源（如銀行）的網(wǎng)站，去訪問它，結(jié)果無意中給騙子透露了重要的個(gè)人信息（如銀行賬號(hào)）。

HTML內(nèi)容要求電子郵件程序使用引擎進(jìn)行解析，并呈現(xiàn)、顯示文檔。這可能會(huì)導(dǎo)致更多的安全漏洞、拒絕服務(wù)或舊電腦性能降低。

在網(wǎng)絡(luò)威脅增加期間，美國國防部曾將所有傳入的HTML電子郵件轉(zhuǎn)換為文本電子郵件。

多部分類型旨在以不同的方式顯示相同的內(nèi)容，但這有時(shí)會(huì)被濫用；一些垃圾電郵利用這種格式來欺騙垃圾郵件過濾器，使其相信郵件是合法的。他們通過在消息的文本部分包含無害內(nèi)容并將垃圾郵件放入HTML部分（向用戶顯示的部分）來實(shí)現(xiàn)這一點(diǎn)。

出于以上原因，大多數(shù)垃圾電子郵件都使用HTML發(fā)送，這導(dǎo)致一些垃圾郵件過濾器會(huì)自動(dòng)增加HTML郵件的過濾級(jí)別。