Lo primero es que no estas escapando los datos recogidos por $_POST, no puedes confiar nunca en los usuarios no siempre van a introducir en tu formulario los datos que pides pueden introducir javascript etc... y al llegar el email al destino se ejecutaria , escapa los datos