几个原因：

• 客户端加载和解释的电子邮件内容越多，电子邮件传递恶意负载的可能性就越大。我想到了 JPEG 2000 渲染代码中相对较新的漏洞——仅仅显示恶意图像可能是危险的。

• 垃圾邮件发送者和营销人员通常使用电子邮件中的图像来确定您是否打开了电子邮件。这也隐含地告诉他们电子邮件是否成功发送以及目标电子邮件地址是否有效（对垃圾邮件发送者有用）。

• 根据您的邮件平台，图片下载可能会告诉发件人用户的 IP 地址。

• 理论上，图像 URL 可用于从内部攻击网络。例如：

<img src="http://192.168.0.1/apply.pl?user=admin&password=admin&action=EnableRemoteLogin">

希望像上面这样的攻击会失败，但安全人员更愿意尽可能地限制暴露。

我认为这里需要解决两个单独的安全风险：

实际在电子邮件中的图像。 正如一些人所提到的，您允许电子邮件客户端加载的内容量与加载该电子邮件时计算机的攻击面之间存在着内在的直接关联。如果您允许您的系统自动加载附件，那么您很可能会遇到会危害您的计算机的恶意文件。

远程内容的热链接。 这通常是当您的电子邮件客户端说“单击此处下载图片...”时被阻止的内容。下载后，这些图像可能会出现在电子邮件“中”。但它们实际上托管在远程网络服务器上。您想要阻止这些自动加载有几个原因。

1. 显然，您首先担心的是电子邮件是骗局，而远程内容来自恶意来源。然后，我们又回到了与电子邮件中实际存在的图像类似的风险。

2. 正如其他人所提到的，这是一种隐私妥协。一旦您的系统与网络服务器联系以下载远程内容，就会向该内容的主机透露一些信息：

   • 您的电子邮件地址。（并且，可以推断该地址是有效的，并且邮箱会定期检查。）
   • 您的 IP 地址。
   • 您的电子邮件客户端名称和版本。

   还值得注意的是，通过了解您的 IP 地址以及将其与您的电子邮件地址相关联可获得的信息可能包括：

   • 您的大致地理位置。
   • 您的雇主和/或您的 ISP 的名称。

   尽管某些电子邮件地址本身会泄露雇主/ISP/位置信息，但无论您的电子邮件地址中有什么内容，IP 地址都可能泄露这些信息。

   以上所有信息都可能有助于将来利用您的系统，或对您个人进行网络钓鱼尝试。

3. 另一个需要注意的可能性是，远程网络服务器虽然表面上可能非常友好，但在发送电子邮件和您阅读它之间的某个时间可能会受到损害。然后，攻击者可以用他们自己的一些内容替换远程内容（否则这些内容可能来自您知道和信任的来源），这让我们再次回到第 1 点。

4. 指向活动远程内容的恶意链接，而不仅仅是静态图像，可能会对您的系统造成更大的损害。正如@tylerl 提到的，图像标签实际上可能指向恶意脚本或其他可能损害您的计算机或代表您执行不需要的操作的内容。通过完全限制远程内容的加载，可以避免这种情况。

因为从服务器检索图像可能会泄露您的 IP 地址，这被认为是隐私问题。（例如，图像可能来自电子邮件发源地以外的其他地方。）它还向垃圾邮件发送者验证了您的存在；当检索到嵌入的图像时，他们可以告诉电子邮件已被打开，并且可以将标识符与它一起传回以告知哪个收件人打开了它。）

它与安全性有关，而不是与品味有关。

图像中内置了漏洞，可用于攻击计算机。因此，如果图像来自不太可靠的来源，则应将其阻止。