deberias hacer algun tipo de comprobacion de que pagina se viene...
ejemplo: tienes tu pagina formulario.php o formulario.html donde se encuentra el formulario y este envia por post a enviar.php

deberias hacer alguna comprobacion en enviar.php que te asegurase que se viene desde formulario.html, y no desde cualquier otro sitio.
asi evitarias k yo mismo pudiera enviar datos a ese enviar.php
eso se puede ahcer de varias formas. Por ejemplo, usando algunas variables $_SERVER["HTTP_REQUEST"] creo que podria ser una de ellas si no recuerdo mal. corrijanme si me equivoco.
Otra (menos recomendable quizas) podria ser usar una variable de session que se cree al entrar en formulario.html y se compruebe en enviar.php que existe y su valor.
Y por ultimo, deberias limitar el contenido del mensaje, evitar que se pudieran introducir content-type y otras palabras como estas.