Hello,

Eigentlich habe ich doch recht deutlich geschrieben, wo das Problem liegt. Was wäre leichter, als das versteckte Input- Feld aus dem Formular zu nehmen und $mailto fest mit der Adresse des Empfängers zu belegen?

Das gilt aber auch für ein "from:"-Feld, dass ohne weitere Prüfung in die Header übernommen wird. Da kann man dann ggf. auch nach Belieben CC: und BCC: unterbringen. Dann weiß der Eigentümer des Formmailers zwar, dass in seinem Namen SPAM versandt wurde, aber das nützt ihm auch nichts. Außerdem könnte es sein, dass der to:-Header durch nochmalige Angabe eines solchen (über das From:-Feld) sogar überschreiben.

Liebe Grüße aus http://www.braunschweig.de

Tom