Ano, jsou tam právě díry i při vypnutí.
Stáhněte si ten PDF odkazovaný ze článku a kolem stránky 11 je tam jak celkem přehledná tabulka, tak i ten text co jsem se kopíroval o pár příspěvků výše (že je to děravé i při vypnutí veškerého vzdáleného obsahu, dokud je zapnutý render HTML jako takový).
Podle tabulky, u PGP je to výrazně lepší (méně děr), pro S/MIME (pokud klienti podporují) prošly jen dva klienti úplně a cca 5 dalších klientů zachráníte pokud nekliknete (což je fajn, pokud se nenasadí sociální inženýrství). Zklamal třeba i webmail GMail (který prý nepodporuje nic jiné kromě S/MIME, ale pro S/MIME se jim prý, dle tabulky, zase povedlo najít díru i bez klikání).