ты ошибаешься - фича многих почтовых сервантов с веб интерфейсом в том что они позволяют юзать "приемлимые" теги типа <a>,<img> и тд Поэтому основная задача фильтра допустить использование только тегов из списка причем ключевые слова типа javascript,background и тд должны вырезаться или заменяться как в хакере на ЯваСкрИптъ (или что-то типа того) но бага все равно есть=)) Имхо для обеспечения полной безопасности достаточно дать пользователям использовать все теги только по определённому шаблону... например <aПРОБЕЛhref=УРЛ>ТЕКСТ</a> причем УРЛ и ТЕКСТ не должны содержать опасных символов типа ",<,>,'.