Hallo,

Aber warum hier der Tainted-Modus nicht Einspruch erhebt weiss ich nicht.

ja das find ich auch komisch,aber nach der englischen erklärung nehm ich mal an
dass das perl script im taint modus erst im /usr/bin/ verzeichniss nach dem mailprog sucht
und dann reklammiert im taint... wenn nicht vor dem öffnen des mailprogramms der andere pfad
/usr/sbin/ angegeben wird .Ich habe da auch was bei w3c http://www.w3.org/Security/faq/wwwsf4.html#CGI-Q17 gefunden .
-----------------------
OK, I turned on taint checks like you said. Now my script dies with
the message: "Insecure $ENV{PATH} at line XX" every time I try to run
it!

Even if you don't rely on the path when you invoke an external program, there's a chance that the invoked program might.
Therefore you need to include the following line towards the top of your script whenever you use taint checks:

$ENV{'PATH'} = '/bin:/usr/bin:/usr/local/bin';

Adjust this as necessary for the list of directories you want searched. It's not a good idea to include the current directory (".") in
the path.
----------------------

Gruss vom Alain