Die Option "Anhänge eingebunden anzeigen" sollte man deaktivieren, um gefährliche Anhänge nicht schon beim Lesen einer (HTML-) E-Mail automatisch für die Anzeige zu öffnen und die Infektion mit Viren zu vermeiden:
mail.inline_attachments = false
Thunderbird verhindert automatisch das Nachladen von Grafiken. Die Ausführung von Javascript aus "Remote Content" in HTML-E-Mails sollte ebenfalls deaktiviert werden:
javascript.enabled = false