¿Te da igual ensuciar el "login" con POSTS?

Podrías hacer una comprobacion del referer del servidor, si viene de la url del mail, añadir un hidden input para que luego al hacer el login, sepa q tiene q redirigirlo