Sehe ich das richtig, daß der ClientSecret nicht benötigt wird?

Und weiterhin meine Frage zu dem Thema, das ich immer noch nicht verstanden habe:
Das Token ist meine Berechtigung, überhaupt Mails zu versenden.
Bei Der Authentifizierung mittels INdy übergebe ich dann die Mail des Benutezrs und das Token.

Das Toekn ist aber nicht userabhängig, also kann ich jeden beliebigen User (E-Mail-Postfach) angeben.

Das kann doch nicht sein, oder?