Wieso? Der E-Mail Client versucht den Anhang (der ja vorgibt ein externes Bild zu sein) herunterzuladen. Der Anhang ist in wirklichkeit aber z.B. ein PHP-Script welches mit einem URL-Parameter (nämlich der bereits entschlüsselte E-Mail-Content) aufgerufen wird. Serverseitig versendet das PHP-Script dann den übergebenen Parameter an den Angreifer.
Ich sehe da kein Clientseitiges Scripting / DOM-Gefrickel, was der Client irgendwie abschalten könnte.