Natürlich geht das, es gibt a) reine Text Mails, da besteht die Gefahr nicht, und dann
b) HTML Mails, dort kann dir so gut wie alles untergeschoben werden (hängt natürlich auch noch von ab, womit ich diese HTML Mails betrachte).
Daher sollte jeder Empfänger zur eigenen Sicherheit die verwendete Software so einstellen, dass HTML Mails erst nur als Text, und nur auf Nachfrage hin als HTML dargestellt werden (ist in allen gängigen Programmen möglich)
Und jeder Webbi sollte (Vertrauenist gut, Kotnrolle ist besser) alle Text-Mails vor dem versenden mit:
htmlspecialchars ()
bearbeiten, so kann ihm nicht HTML Code da untergeschoben werden, und sich sehr gut überlegen von welchem Sponsor er HTML Mails verschickt, bzw. an sich jede manuell vor dem verschicken prüfen.
Denn sollte in dem Mailtext Schadcode drin sein ist ganz allein der Verantwortlich, der die Mails rausschickt