con questo tipo di form che inviano mail a volte è possibile inviare email a terzi, nel campo per il messaggio si mette il codice di un email e il server mail lo interpreta come un mail indipendente, dunque qualcuno potrebbe usare il tuo form per inviare spam.

Una situazione simile che si presentava sul sito di un cliente l'ho risolta utilizzando la classe Mail di PEAR per inviare un mail "ben fatto" (dunque non usando semplicemente la funzione mail() passando uno e due header) e il problema non si è più presentato.