Bueno .. es que también la validación que sugiere tu proveedor no hace más que evitar que se envien con tu formulario un spam masivo.

Pero lo que no parece que validan es "que" formulario HTML usa tu script PHP de proceso de envio del e-mail. Es decir de "que" domino llegan los datos como para dejar o no realizar el proceso de envio.

Por ende .. imagina la situación:

1) Domino A.com .. ahí tengo mi formulario HTML o script PHP para automatizar el proceso.
2) Dominio B.com .. donde está tu script que envia el e-mail: enviar_mail.php

Tu script "enviar_mail.php" toma las variables por el "metodo" que le llegen (sea POST o GET) .. pero no -atiende- de donde provienen. SI eso se produce ..yo desde domino A.com voy a usar tu script de proceso de envio de e-mail .. y si a eso le sumas que el "para" lo dejas libre como una variable que llega desde tu formulario .. ahí es donde "doy el cambiazo" y pongo otro e-mail. En este caso estaría usando tu infraestructura (tus própios scripts PHP genéricos de envio del e-mail) para enviar un e-mail mio.

No sé si será esto último tu caso (no sé si "fijas" el "para" como destinatario o no) pero antiguamente con los típicos "form mailer" genéricos que se usaban mucho sucedía este problema.

Hoy en día y lo que reporta tu proveedor como fallo de seguridad supuestamente es que usan las cabeceras HTTP que en "mail()" se ponen tal cual y en ella suele "caer" alguna variable PHP proveniente del formulario directamente (para indicar un "from .." o algo así) para componer otra cabecera para el e-mail con otras direcciones de envio con CC (copia) o BCC ...

Un saludo,