Dipende; è possibile includere codice dannoso (ad es. JavaScript) nelle e-mail HTML, ma tutte le applicazioni e-mail gravi (siano app Web o app desktop) impediranno l'esecuzione di questo quando vengono lette ed escluse se si decide di salva l'e-mail come HTML. I buoni lettori PDF faranno lo stesso con i PDF "infetti", in realtà.
Se in qualche modo intercetti il corpo di posta elettronica grezzo, lo salvi come un file HTML e lo apri in un browser, corri gli stessi rischi dell'apertura di un collegamento casuale su Internet.