HTMLそのものはセキュリティとはあんまり関係ないと思いますけど、
たとえば GDI+のセキュリティホール [impress.co.jp]が組み合わさると
メールを開くと画像も開かれ、その際に悪意のあるコードが勝手に実行される、
というシナリオだと思います。

どこまでが親切（気が利く）で、どこからがおせっかいかは線引きは難しいのですけど
メールを開くだけで.exeが勝手に実行されたりする点に近いでしょう。
多少面倒でも、ユーザーが安全を確認してから実行する１ステップがないと
予想もできない攻撃方法が出てくるかも知れません。
ある程度コンピュータに強い人ならば警戒できるでしょうが、
管理者が面倒だと「危険だからOutlook Express禁止ね」となるのかと。

悪意のあるコード以外にも、いまのところないけど、
不愉快な画像を添付してくるいたずらメールもあるかもしれません。
これも開いただけで画像を見せられたら私は嫌です。