ciao!
i controlli che fai in js sono per la "user experience" (in altre parole servono all'utente, non a te perchè non danno garanzie, un client può disabilitare js )
per questioni di sicurezza è buona abitudine duplicare il controllo nel php di dedtinazione (nel tuo caso mi sembra di capire mail.php) questi controlli non hanno modo di essere aggirati se propriamente scritti perchè il codice php non è visibile al client.

un esempio banale che puoi migliorare soprattutto nella parte in cui informi l'utente che sta accedendo allo script in modo non autorizzato.
codice:
// presupponendo che hai un campo <input type="text" name="body" />
// e che il form inviibdati con method="post"
// in mail.php nelle prime righe
if(!isset($_POST['body'])){
  die("accesso non autorizzato!");
// ripetendo il controllo per tutti i campi o includendoli nello stesso if