3. Der Benutzer hat nicht nur 48 Stunden Zeit, sondern kann jederzeit, nachdem er die Mail bekommen hat, auf den Verifikationslink klicken.

Das ist IMHO die beste Lösung, oder gibt es auch hier Schwachstellen?

Ich sag dir mal was _ich_ mache, wenn ich einen Dienst nur einmal verwenden will:
Ich lege mir eine Wegwerfadresse an!
(z.b. nervmich.net oder guerrillamail.com)

Für einmalige Sachen ist es das Risiko einfach nicht wert eine tatsächliche Adresse weg zu geben, die Gründe dürften klar sein (Spam anyone?).
Um das zu umgehen würde ich das Gegenteil machen wie der oben zitierte Teil, ich würde die Mail eben nicht sofort verschicken und dann (jetzt doch nicht) binnen 48h verifizieren lassen, sondern ich würde die Mail "irgendwann in den nächsten zwei Wochen" verschicken oder alle auf einmal kurz vor Ende der Petition, man meldet sich also quasi nur zur Unterschrift an.

ggf. kann man noch anbieten eine Dump-Mail sofort zu schicken, damit der Unterschreiber seinen Spam-Filter schoneinmal so einstellen kann, dass er die Mail durch lässt.

Netter Nebeneffekt: Der Unterschriftswillige wird noch einmal an seine Stimme erinnert und überprüft ggf. nochmal seinen Erfolg.

Naja und die andere Schwachstelle ist wohl offensichtlich, wie viele E-Mail-Adressen hast du? Wie oft kann man dann abstimmen?
Aber das lässt sich wahrscheinlich nicht so leicht lösen. Außer vielleicht (und damit bekommt man beide Probleme in den Griff) man nimmt nur Adressen von ISPs, denn deren Kunden sind ja verifiziert, während ich mir beliebig Adressen bei gMail, web.de oder yahoo holen kann. _Das_ allerdings wäre wieder unbequem, denn wer benutzt schon die Postfächer seines ISP (das ändert sich ja alle 24 Monate)?