Moin.

dem User gar keine chance lasse daran was zu ändern,

Hab doch glatt übersehen, daß Du die Felder schon fest verdrahtet hast. Ich dachte, Du hättest einfach den Code kopiert. Dann ist der Formmailer sicher - würde ich sagen. Einziger "Angriffspunkt", der aber nicht wirklich einer ist:

my $returnhtml = $query->param('return');

Ein "Fremdnutzer" kann nach dem Senden der Mail an DICH auf eine andere Seite weiterleiten. Wenn Du da flexibel sein willst, gib einfach einen String mit und nimm den im Script als Key in ein fest codiertes Hash:

my %return = (ret1 => "danke1.html", ret2 => "danke2.html")
print "Location: $return{$returnhtml}\n\n";

Das gleiche geht auch gut, wenn Du dem Nutzer die Möglicheit geben willst, eine Zieladresse auszuwählen. Ergänze Dein Formular um ein Select-feld, in dem der User zw. verschieden Adressen wählen kann. nimm als value aber nicht die wirkliche Adresse, sondern einen "Alias" (im Beispiel addr1 und addr2)

Im Script notierst Du für jeden alias die reale Adresse...
my %to = (addr1 => "bla@domain.de, addr2 => "blub@domain.de")
my $mailto = $query->param('mailto');
To: $to{$mailto}\n";

Gruß Frank