Zur strukturierten Darstellung von Inhalten wie Texten, Bildern und Hyperlinks können Absender das HTML-Format verwenden, obwohl es ursprünglich nicht für den Einsatz in E-Mails gedacht war. Um solche Inhalte korrekt anzeigen zu können, werden viele E-Mail-Clients mit ähnlichen Funktionen wie Browser ausgestattet. Dadurch ergeben sich prinzipiell auch die gleichen Sicherheits- und Privatsphäreprobleme wie bei Web-Browser. Mit den Standardeinstellungen sollte zwar jeder moderne E-Mail-Client (wie Thunderbird) das Ausführen von Scripten / aktiven Inhalten und des Nachladen externer Inhalte blockieren. Nicht verhindert wird allerdings das böswillige Verschleiern von Links in HTML-E-Mails.
Empfangene Nachrichten sollten stets als Text (also nicht im HTML-Format) angezeigt werden:
Ansicht → Nachrichteninhalt → Reiner Text
Sollte doch einmal eine HTML-E-Mail durch die Darstellung als Text völlig unverständlich werden, besteht jederzeit die Möglichkeit, auf gleichem Weg in die HTML-Ansicht zu wechseln.
Um das Umschalten zwischen HTML- und Textansicht zu vereinfachen, gibt es die Allow HTML Temp Erweiterung für Thunderbird (Installationsanleitung). Diese ermöglicht das Hinzufügen einer Schaltfläche mit der Bezeichnung "HTML anzeigen", welche die ausgewählte Nachricht einmalig im Original-HTML-Format anzeigen lässt und beim Wechsel zur nächsten Nachricht automatisch zur Text-Ansicht zurückkehrt.
Eine weitere Verschleierungsmöglichkeit bieten internationalisierte Domainnamen als Link-Ziel. Die sog. Punycode-Darstellung für internationalisierte Domainnamen erleichert es, mögliches Domain-Spoofing zu erkennen:
network.IDN_show_punycode = true