OK dass mit dem Escapen scheint genau dass zu sein was ich suche.

$_POST['nachricht'] = preg_replace('/[^-_.0-9a-zA-ZäÄöÖüÜß., @]/', '', $_POST["nachricht"]);

funktioniert soweit. Jetzt würde ich gerne zusätzlich die Zeichen ! und / erlauben. Muss diese wohl irgendwie maskieren...nur wie???