Nach DSGVO seid ihr in der Pflicht, eine Auskunft zu erteilen, gespeicherte Informationen auf Anfrage zu korrigieren, oder gar zu löschen. Ohne Identifizierung ist das logischer Weise nicht möglich. Das macht die Sache schwierig und am Ende evtl. sogar unangenehm für den Betreiber, wenn der betreffende Nutzer einen Anwalt konsultiert, z.B. auch in Urheberrechtsfällen.
Die Authentifizierung ist die Kombination aus Benutzer und Passwort. Nur weil jemand mich über eine bestimmte E-Mail-Adresse anschreibt, weiß ich noch lange nicht, um wen es sich handelt, ja, ich kann es vermuten, weil sich jemand über eine gleichlautende E-Mail-Adresse irgendwann mal bei uns registriert hat, aber was nutzt mir das? Eine Auskunft würde ich niemals per E-Mail erteilen! Wenn personenbezogene Daten, und um nichts anderes kümmert sich der Datenschutz, falsch sind oder gelöscht werden sollen, dann muss er sich halt wohl oder übel ausweisen.
Unterm Strich kann diese Möglichkeit mehr Probleme bereiten, als lösen. Denn ihr seid nur zwei von hunderten, möglichen Nutzern dieser Funktion. Ihr beide könnt damit vielleicht umgehen, das muss aber nicht zwingend auf alle anderen zutreffen und am Ende ist das Geschreie groß.
Nochmal: Das sollte man als Betreiber einer Community selbst bestimmen können. Die rechtliche Abklärung wird einem niemand abnehmen. In vielen Fällen dürfte es technisch keine Notwendigkeit geben, die E-Mail-Adressen zu erheben, und dann darf das auch kein Pflichtfeld sein, da führt dann halt kein Weg dran vorbei. Das schaut aber anders aus, wenn jemand bspw. E-Mail-Benachrichtigungen erhalten möchte und deshalb seine E-Mail-Adresse dafür hinterlegt, das wäre natürlich auch denkbar für die angesprochene Möglichkeit das Passwort zurückzusetzen.
E-Mail-Header lassen sich nicht fälschen. Zumindest jene nicht, die dazu verwendet werden können, die Echtheit einer E-Mail bestätigen zu können.