Zum Thema Adresse und sichtbar:
Klar, hab ich mich grad vertan, wird ja angezeigt, aber die ziel-adresse wird ja auch auf dem formular nachher angezeigt, damit interessierte User auch zur Not mit nem eigenen Programm ne Nachricht senden können...

Ich bin mir nicht sicher, ob Du schon verstanden hast, worum es geht: Die Zieladresse ist vom Benutzer _frei_ wählbar. Es nützt nichts, daß das Formularfeld nicht angezeigt wird und es geht nicht darum, daß Benutzer mit einem anderen Programm eine Nachricht an den Formularinhaber absetzen können.

Das Problem ist, daß jederman ein simples Programm schreiben kann, das Deinem Skript ein abgeschicktes Formular vorgaukelt. Da Du treuen Glaubens die Zieladresse aus den erhaltenen Formulardaten (die wie gesagt keine "Formular"-Daten sein müssen) nimmst, kann jederman für den Formulareintrag der Zieladresse ein x-beliebige einsetzen und somit Dein Skript als Massenversandmittel mißbrauchen.

Entferne das <input>-Feld mit der Zieladresse _vollständig_ aus dem Formular und setze die Zieladresse stattdessen direkt in den mail()-Aufruf ein, ohne Benutzung von Variablen.

Was ich evtl noch amchen muss ist nen Refferer einzuauen, ist aber kompiziert denn

1. wie macht man mit php ne refferer abfrage? 0 Ahnung
2. ist der Speicherort des Forms ja auch frei wählbar...

Der Referrer kommt, so er denn gesendet wird, in einer Variable namens $_SERVER["HTTP_REFERER"] (siehe phpinfo(INFO_VARIABLES);). Die eigene Skriptadresse findest Du wie auch den vom Browser verwendeten Servernamen ebenfalls im Feld $_SERVER[] unter "PHP_SELF" (wenn ich mich nicht irre, siehe phpinfo()) und "HTTP_HOST".

Gruß,
  soenk.e