$_SERVER['HTTP_HOST'] se puede manipular si se pone en un hidden en un campo de formulario, con Firebug por ejemplo.

Igual se puede hacer algo con sesiones o cookies para verificar que el formulario no se envia desde otra página que ha copiado el formulario, incluido los campos ocultos.

¿No has pensado en poner un captcha?

Así te garantizas que se envía desde la página y evitas mucho spam porque, hoy en día se pueden programar los envios de formulario como si estuviesen en la página navegando. Sin ir más lejos, en php creo que era con cURL.

Saludos