Así es .. toda cabecera HTTP (como HTTP_REFERER) es suceptible de ser modificada/adulterada o incluso simplemente no entregada .. Es decir, algunos proxys, firewalls o navegadores (por ejemplo por restricciones de seguridad o incluso si se abre una ventana) no entregan esa información.

Lo ideal es que si ese script imagenes.php se ha de ejecuta bajo la "aplicación" que corre en tal dominio: es decir, que venga de otra página de ese dominio .. crea variables de sesión y valida su existencia.

Un saludo,