Hallo,

[...] und komme zum Schluss, dass, solange ich Benutzereingaben ausschließlich über den  message-Parameter übergebe, keine Gefahr besteht, eine Spamschleuder gebaut zu haben. Ist dies korrekt?

Mit Vorbehalt: Ja.

Solange ungeprüfte Benutzereingaben nur im Body der eMail landen und nicht im Header, sollte es keine Probleme geben.

Dazu gehört aber auch

- kein subject
 - kein From:
 - kein reply-to:
 - usw.

Schau Dir die emails eines Standardclients nochmal an, damit Du weißt, was wo landet.

LG
Chris