HTML允許將鏈接顯示為任意文本，而不是完整的URL，一個鏈接可能只顯示其中的一部分或只是一個易于用戶識別的目標名稱。這可能被用于釣魚式攻擊，譬如，用戶可能誤以為鏈接指向的是權威來源（如銀行）的網站，去訪問它，結果無意中給騙子透露了重要的個人信息（如銀行賬號）。

HTML內容要求電子郵件程序使用引擎進行解析，并呈現、顯示文檔。這可能會導致更多的安全漏洞、拒絕服務或舊電腦性能降低。

在網絡威脅增加期間，美國國防部曾將所有傳入的HTML電子郵件轉換為文本電子郵件。

多部分類型旨在以不同的方式顯示相同的內容，但這有時會被濫用；一些垃圾電郵利用這種格式來欺騙垃圾郵件過濾器，使其相信郵件是合法的。他們通過在消息的文本部分包含無害內容并將垃圾郵件放入HTML部分（向用戶顯示的部分）來實現這一點。

出于以上原因，大多數垃圾電子郵件都使用HTML發送，這導致一些垃圾郵件過濾器會自動增加HTML郵件的過濾級別。