Warum man keine HTML-Nachrichten senden sollte ...

(... bzw. wenn möglich, ankommende HTML-Mails sofort nach 'nur Text' wandeln oder gleich löschen...)

Nicht nur von Mail-Anhängen, sondern auch von E-Mail-Nachrichten im HTML-Format können Gefahren ausgehen. Oder, was zumindest sehr lästig ist, die Ladezeit bis zur vollständigen Anzeige des Nachrichteninhalts kann erheblich sein.
Wer aus Unachtsamkeit (oder gar mit Absicht) den Nachrichteninhalt mit Hyperlinks auf nur online verfügbare Grafiken spickt und dann womöglich noch die Nachricht als Tabelle formatiert, kann sich leisen Zähneknirschens beim Empfänger gewiss sein.... und darf damit rechnen, dass seine Nachrichten künftig nicht mehr gelesen, sondern gleich gelöscht werden.

Um sich vor unerwünschten Belästigungen zu schützen, kann man durch den Einsatz frei konfigurierbarer Filter und Nachrichtenregeln oder durch "selbstlernende" Junk-Filter dafür sorgen, das unerwünschte Nachrichten sofort gelöscht oder gar nicht erst vom Server heruntergeladen werden (in diesem Fall muss man aber aufpassen, dass das Postfach nicht irgendwann überläuft).

Die c't schrieb über HTML-formatierte e-mail im Heft 20/2001:

... Zahlreiche Newsletter werden zum Beispiel auf diese Weise verschickt.
Klar: Das sieht besser aus, vor allem bunter. Jedoch kann unter bestimmten Umständen schon die Anzeige einer HTML-formatierten E-Mail ausreichen, damit auf dem heimischen Rechner Ungewolltes passiert.

Je nach Sicherheitseinstellung kann schon die Vorschau einer HTML-Mail ungewollte Effekte auslösen. Theoretisch besteht bei den Standard-Sicherheitseinstellungen und eingespielten Updates für Microsoft Outlook (sofern verwendet) und den Internet Explorer keine sonderliche Gefahr durch HTML-Mails, doch Vorkommnisse in der Vergangenheit bewiesen immer wieder, dass durch Kombination mit anderen Programmen doch plötzlich Sicherheitslücken entstehen können. So stellte Sicherheitsexperte Gregor Guninsky fest, dass das <OBJECT>-Tag in Kombination mit Microsoft Office unter gewissen Umständen Dateien auf der lokalen Festplatte speichern kann [1].

Das CERT (Computer Emergency Response Team) hat in einem Advisory [2] mögliche Gefahren aufgelistet und bietet Hilfestellung für den Anwender.

Noch aus einem anderen Grund ist es empfehlenswert, HTML-Mails nicht zu verwenden. Mit trickreichen Methoden ist es einem Webmaster möglich, eine verifizierte E-Mail-Adresse zurückzuerhalten, sobald das 'Opfer' sich eine Mail vom Webmaster mit aktiviertem HTML ansieht: Der Webmaster erhält quasi eine Bestätigung, dass die Mail tatsächlich gelesen wurde. In einem <IMG SRC ...>-Tag wird dazu einfach auf ein CGI-Skript auf dem Server des Webmasters verwiesen - sobald die E-Mail aufgerufen wird, wird das Skript aktiv. Das ist zwar kein ernsthaftes Sicherheitsproblem, weil die eigene Mail-Adresse kaum geheim sein dürfte, allerdings kann das zu lästigen und unerwünschten Werbe-Mails (sogenannter Spam) führen.

[1] http://www.heise.de/newsticker/data/ju-19.07.00-000
[2] http://www.cert.org/advisories/CA-2000-02.html

Weitere interessante Hinweise hierzu:

WIKIPEDIA: Zählpixel

Und das ist noch nicht alles:

Auch wenn das oben Gesagte etwas veraltet klingt... das ist es nicht.
Weitere Informationen hierzu gibt es en masse, hier nur zwei Beispiele:

... bei Mac Service Köln
... auf heise security