Hi,
vielen Dank für Links. Das erste (englische) muss ich mir noch bei Gelegenheit in Ruhe übersetzen und anschauen.

»» 3. Wie erkennt der Browser nun, zu dem die Ausgabe gesendet wird, dass er dies nicht als HTML-Tag nutzen soll?

http://de.selfhtml.org/html/referenz/zeichen.htm#benannte_html

Oki doki, da nehme ich dann entweder Unicode (ASCII) entweder DEZ oder Hex, bzw. HTML Name Entities (Welche von der DTD geregelt wird ne?)

Dieser Unicode (Bsp. ä für ä) wäre in vielen anderen Medien/Dokumenten (HTML, XML, E-Mails, .doc, .odt, usw.) wichtig ne? Und wird auch immer in der gleichen Schreibweise codiert. (Oder geht man da auch mal bis binär runter)

»» [E-Mail Header Injection] Das heißt, man sollte \n und \r von der Eingabe herausfiltern oder maskieren.
»» 4. Auch hier, SMPTP, POP3, wie auch immer, erkennen automatisch, dass etwas maskiert ist und nehmen das maskierte Zeichen als ganz normalen Text? Das heißt aber auch im Nachrichtenfeld, sobald ich dies in der Nachricht auch filtere oder maskiere, dass der Empfänger oder irgendwelche Ausgabe dann keine Zeilenumbrüche hat oder nicht?

Die Nachricht ist Mail Body - Header Injection findet aber wo statt? Richtig, innerhalb der Header der E-Mail. Die Header werden durch das erste Auftreten eines doppelten CR LF vom Body abgetrennt. Alles, was danach kommt, ist diesbezüglich irrelevant.

ok, das heißt, man muss nur auf Subject aufpassen, falls ein Benutzer nur dies eingeben kann, evtl. noch bei Absenderemail.

grüße
michi