Er bekommt die Bestätigungsmail an seine Adresse zugesandt, dort muss er einen Link aufufen, in dem ich als GET-Parameter die Mailadresse anhänge.
...bestätigungsseite?mail=mailadresse@yahoo.de

Was mir nicht gefällt ist das mit dem Get, ich kann ja mir eine Newsletter bestellen, bestätige und sehe wie das funkioniert, dann gebe ich bößartig eine Mailadresse ein, bekomme keine Bestätigungsmanil, kann aber die Seite wieder aufrufen und den GET-Paramter mit "hand" ändern.
Dann gehts ja auch.

Richtig erkannt.

Wie kann ich eine sichere (einfache anfängerverständliche) Mailbestätigung machen?

Du legst jede Bestätigungsanforderung zusammen mit der E-Mail-Adresse unter einer eindeutigen, aber zufällig erstellten Kennung (vulgo: ID) auf dem Server ab (Datenbanktabelle oder simple Datei). Statt der E-Mail-Adresse schickst du diese Kennung auf die Mail-Rundreise zur Bestätigung. Beim Bestätigungsvorgang liest du die E-Mail-Adresse anhand der Kennung aus der lokalen Tabelle und trägst sie in den Verteiler ein.