Mahlzeit Malcolm Beck´s,

Gibt es denn Generell keine Server-Einstellung, die dieses verhalten unterbindet?

Nein.

Das wirkt auf mich wie eine Fehlfunktion,

Nein.

wenn Fremde Server auf meinem einen POST-Request absetzen können und dieser auch noch bearbeitet wird.

Du hast die Funktionsweise von HTTP anscheinend noch nicht ganz verstanden. Den POST-Request setzt der Client ab. Er richtet diesen Request im Regelfall an den Server, der im "http://de.selfhtml.org/html/formulare/definieren.htm#bereich@title=action"-Attribut des jeweiligen Formulars genannt ist - und dabei spielt es absolut keine Rolle, ob er das HTML-Dokument, in dem sich das Formular befindet, von ebendiesem Server, von einem anderen oder vielleicht lokal auf der Platte gespeichert hat.

Das ist weder eine Fehlfunktion, noch eine Sicherheitslücke, sondern absolut so gewollt.

Es ist und bleibt das Problem desjenigen, der eine Ressource, die POST-Requests verarbeitet, anbietet, diese Ressource so abzusichern, dass sie nur sinnhafte Requests verarbeitet und im Rahmen dieser Verarbeitung ggf. überprüft, ob der Requests überhaupt fachlich zulässig ist.

MfG,
EKKi