HTML允許將鏈接顯示為任意文本，而不是完整的URL，一個鏈接可能只顯示其中的一部分或只是一個易于用戶識別的目標名稱。這可能被用于釣魚式攻擊，譬如，用戶可能誤以為鏈接指向的是權(quán)威來源（如銀行）的網(wǎng)站，去訪問它，結(jié)果無意中給騙子透露了重要的個人信息（如銀行賬號）。

HTML內(nèi)容要求電子郵件程序使用引擎進行解析，并呈現(xiàn)、顯示文檔。這可能會導(dǎo)致更多的安全漏洞、拒絕服務(wù)或舊電腦性能降低。

在網(wǎng)絡(luò)威脅增加期間，美國國防部曾將所有傳入的HTML電子郵件轉(zhuǎn)換為文本電子郵件。

多部分類型旨在以不同的方式顯示相同的內(nèi)容，但這有時會被濫用；一些垃圾電郵利用這種格式來欺騙垃圾郵件過濾器，使其相信郵件是合法的。他們通過在消息的文本部分包含無害內(nèi)容并將垃圾郵件放入HTML部分（向用戶顯示的部分）來實現(xiàn)這一點。

出于以上原因，大多數(shù)垃圾電子郵件都使用HTML發(fā)送，這導(dǎo)致一些垃圾郵件過濾器會自動增加HTML郵件的過濾級別。