Ich hatte gerade dasselbe Problem, als ich versuchte, ein Backup von einem Rechner zu ziehen, der nicht meiner war (also kein SSH-Zugriff). Es wurde noch komplizierter, da ich Brevo als E-Mail-Anbieter nutze und sie den Link manipulieren, um ihn für Tracking-Zwecke auf ihren eigenen Server umzuleiten.
Für die Backup-E-Mails könnte es nützlich sein, die vollständige URL und das Token explizit anzuzeigen, anstatt sie im a href zu verstecken, was von E-Mail-Anbietern überschrieben werden kann.