hi,

Klingt logisch.
Aber: Ist es gefährlich die Absender-Adresse als HTTP_HOST anzugeben oder sollte man lieber eine fixe Adresse eintragen?

Es ist gefährlich, davon auszugehen, dass ein von extern kommender Parameter nur bestimmte, bekannte Werte enthalten kann - _immer_.
Never trust incoming data.

Fix angeben musst du den Wert natürlich nicht - wenn du eingehende Werte in ausreichendem Maße auf Gültigkeit prüfst.

gruß,
wahsaga