Tienes un lio de uso de variables externas .. por un lado usas los arrays superglobales $_POST .. etc y por otro lado usas $HTTP_POST_VARS, deberías usar SÓLO los arrays superglobales $_POST por ejemplo.

Sobre seguriad.

El uso que haces de HTTP_REFERER no es nada confiable, es un dato que se entrega en la conexión entre cliente-servidor .. es fácimelmente alterable el valor o no informado simplemente.

Si lo que quieres evitar es que te usen ese script genérico de envio de e-mails si ese script (de proceso) está en el mismo servidor que tus formularios .. usa sesiones (www.php.net/session) para autentificar que viene de ese formulario concreto.

Un saludo,