Es wäre sinnvoller und sicherer, wenn Du einfach den Inhalt von go überprüfst:

<form action="?go=<?php
    switch ($_POST["go"])
     {
      case "answer": echo "mailnew&action=answer"; break;
      case "forward": echo "mailnew&action=forward" etc..
     };
  ?>&mail_id=bla.." method="post" blabla..

Auf diese Art und Weise kann Dir auch niemand etwas unterjubeln.

Besten Dank!!!

Habe es jetzt so gemacht und es funktioniert. :-)

Unterjubeln konnte mir jedoch auch vorher niemand etwas, da alle anderen als die möglichen Versionen wieder zurück zur aktuellen Seite führen (Weiterverarbeitung im Skript).

Davon mal abgesehen hat ein alleinstehendes Und-Zeichen (&) in HTML _nicht_ zu suchen. Wenn Du ein & haben willst, dann muß Du in HTML & schreiben. Das gilt auch für Adressen.
Dein obiges <form> ist also falsch, richtig lautet es

<form action="?go=$go&mail_id=$mailshow[id]&PHPSESSID=$PHPSESSID" ...>

Siehe auch http://validator.w3.org.

Gruß,
  soenk.e

Sorry. Hätte vielleicht erwähnen sollen, dass es sich um ein Template handelt, bei dem Umlaute und Sonderzeichen durch's Einlesen angepasst werden.
Vielen Dank trotzdem für den Hinweis und die mögliche Fehlerbehebung.

Gruss,
LinuxUser