Nunja, das Script soll doch sicherlich ausgeführt werden, oder?
Und dafür muss der Server das Recht haben, den Inhalt zu lesen.

Wieso braucht dann jeder Leserechte ? Es reicht doch, wenn der Webserver Leserechte hat. So müsste 640 reichen.

Wie sieht dein Script aus? Wenn die Empfänger-Mailadresse direkt im PHP-Skript eingebaut wurde, kann sie AFAIK niemand auslesen.

Dies ist der Fall. Allerdings kam nach Freischaltung eben unmittelbar der Spam.