Hallo,

Textumbrüche werden mit (.*) doch auch eingeschlossen, oder?

Das gilt m. E. nur für die explizite Angabe des Modifier m, denn du ja angegeben hast. Aber mal so gefragt: Was macht noch mal der Modifier s? - und wie verhält sich wohl m und s auf unterschiedlichen Systemen?

Allgemein fällt mir noch eine andere Schwachstelle auf:

echo $found[1];

Beispielmail mit einem nicht unüblichem Content-Type: multipart/mixed; in der Abfolge des Inhaltes =>

text/plain
text/html
application/octet-stream

Vorgehensweise:

Nach applocation/octet-stream suchen
  Ab dort nach Umbrüchen suchen "\n\n"
    Ab dort den String nach den nächsten beiden Umbrüchen abtrennen
      String decodieren
        Glücklich sein ;)

stristr();
  explode();
    echo base64_decode($explode_array[1]);
      echo "Ich hasse unnötige Reguläre Ausdrücke";

Gruß aus Berlin!
eddi