//comprobamos que viene de formulario.html:
if ($_SERVER['HTTP_REFERER']!="http://www.tupagina.com/tuformulario.html"){
echo "Por favor use el formulario de contacto.";
exit;
}


//comprobamos que el mensaje no contiene palabras como Content-Type, Content-Transfer-Encoding, etc
$array_no_permitir[0]="Content-Type";
$array_no_permitir[1]="Content-Transfer-Encoding";
$array_no_permitir[2]="text/html";
//agrega todas las que quieras....
$total=count($array_no_permitir);
for($i=0;$i<$total;$i++){
if (eregi($array_no_permitir[$i],$_POST['mensaje']))
{
echo "El mensaje no puede contener: " . $array_no_permitir[$i];
exit;
}
}

//continuar enviando el mensaje....


Debes tener en cuenta que en el codigo uso $_POST['mensaje'] como el mensaje, cambialo por la variable que uses tu.
Tambien http://www.tupagina.com/tuformulario.html
ahi pon la ruta de tuformulario.


Por ultimo, esta solucion quizas sea debil, y evite algunos ataques pero otros no, deberias prguntar a alguien que sepa mas de php, ya que yo tampoco soy muy experto.