Deberías indicar el código completo que ya te pedí.
Ese "HTML" que te injectan .. donde lo ves? .. en tu e-mail generado? .. o a caso en tu página que genera el e-mail también haces una vista previa de lo que vas a enviar (algún "echo" a tus $_POST variables?)
Tu en cuerpo del mensaje necesitas aceptar HTML o no? .. (aunque luego compongas el e-mail en HTML) ..
Bueno .. en general deberías aplicar
htmlentities() mínimo a tus variables $_POST para evitar que esos "links" sea "ejecutables" (o mejor dicho clickeables). Pero, si realmente no aceptas nada de HTML en tus "input" mejor quita todo HTML o código que pueda venir por ahí .. es decir todo lo que esté bajo < y > con
strip_tags()
Luego podrías usar sesiones por ejemplo para asegurarte de que pasan de tu formulario al script de proceso y no directamente injectando datos a tu script PHP de proceso.
Incluso (lo más seguro) es combinar todo esto y usar técnicas de "CAPTCHA" (tienes una FAQ que explica el método). Se trata de que tu usuario tiene que ver un "código" de confirmación que está en un "gráfico" y digitarlo como un dato más en tu formulario ..todo eso se compara y si es válido tu sigues ejecutando tus procesos.
Un saludo,