Aber die sind doch so schön bunt und womöglich multimedial aufgewertet? Ja, sie kommen daher, wie eine bunte Werbebroschüre. Und meist ist das auch ihr Ursprung. Der Empfänger hat dadurch keinen Mehrwert gegenüber reinem Klartext, handelt sich aber, insbesondere bei falschen Einstellungen seines E-Mail-Programms erhebliche Nachteile und Risiken ein.
In HTML-E-Mails kann der Absender Adressen zu Grafiken einbetten. Öffne ich unbedacht die Mail, folgt das Mailprogramm der Adresse mit eindeutiger Kennung und dem Absender der (Spam-)Mail wurde die Gültigkeit meiner Mailadresse bestätigt. Die geringste Folge ist ein Vielfaches an Spam in meinem Postfach.
HTML-E-Mails können genutzt werden, um Informationen über Sie, Ihren Kalender, Ihre Kontakte oder andere E-Mails in Ihrem Posteingang usw. zu erhalten.
Mit HTML-E-Mails werden häufig "offizielle" Mails von Banken, Behörden oder anderen Diensten vorgetäuscht, um an wertvolle, brisante Daten zu gelangen. Logge ich mich also z.B. über den (auf den ersten Blick nicht erkennbar) manipulierten Link einer solchen Mail "von meiner Bank" ein, ist mindestens ein finanzieller Schaden vorprogrammiert. Phishing-Angriffe werden durch HTML-Emails sehr gut verschleiert. In Klartext-E-Mails erkenne ich so etwas viel leichter.
Mit einer Kombination aus HTML-E-Mails, falsch eingestelltem Programm und offenen Sicherheitslücken im E-Mail-Programm erleichtert man Viren, Würmern und Trojanern massiv deren Werk. Das kann einen Betrieb zeitweilig völlig lahmlegen oder einen kompletten Datenverlust bedeuten.
HTML-E-Mails sind alles andere, als barrierefrei, also z.B. für Benutzer, die einen Screenreader oder andere Hilfsmittel benötigen, um ihren Computer zu verwenden, ein großes Problem. Klartext-E-Mails sind im Vergleich dazu für Screenreader ein Kinderspiel, vor allem für Benutzer mit spezialisierten E-Mail-Clients, die für diesen Zweck entwickelt wurden.
Versende ich selbst HTML-E-Mails, darf ich mich nicht wundern, wenn diese - vernünftigerweise! - z.B. als vermeintliche Spam-Mail ausgefiltert werden, also den Empfänger nicht erreichen. Unter Umständen landet meine E-Mail-Adresse oder der gesamte Server auf einer schwarzen Liste. Danach könnte jede von mir stammende E-Mail pauschal als Spam behandelt werden, und das nicht nur von einem Empfänger.
Fazit: Das einzig richtige und sichere E-Mail-Format ist Klartext!
Lesenswert dazu: "Sicherheits-Irrtümer: E-Mail-Sicherheit" vom Bundesamt für Sicherheit in der Informationstechnik (BSI)