Da du den Dienst nutzt, an dich die Frage, ob man die gewünschte Emailadresse explizit hinterlegen muss? Damit wäre ja ein Abgleich möglich, der willkürlich durch Spammer eingetragene Emailadressen verhindert. Wenn nicht sichergestellt ist, dass ein Webseitenbetreiber, der den Dienst nutzt, eine für den Dienst gültige Emailadresse als Empfänger angibt, ist die Sicherheitslücke eine Sicherheitslücke.

Ich glaube der Betreiber des Dienstes hat diese Problematik gar nicht verstanden (geschweige denn den Thread hier gelesen). Es gibt zwar eine 15-sekündige IP-Sperre nach dem Absenden eines Formulars, aber wie schwer ist es wohl im Web an ein paar tausend IPs zu gelangen? ;-)

\0