Die URL habe ich aufgerufen und festgestellt, dass dieser Quellcode in der von mir erhaltenen E-Mail eben ein Teil des Quelltexts dieser Seite ist (sie bietet ebenfalls ein Kontaktformular an). Wie kommt der Code in die Mail rein, wie kommt er außerhalb von "Mitteilung"? Gefakte Formseite mit gefaktem Referrer abgeschickt?

Hast du dich mit E-Mail Injection auseinandergesetzt?

http://www.securephpwiki.com/index.php/Email_Injection

Ich werd nicht ganz schlau aus deiner Beschreibung. Könntest du die Mail (im Quelltext, mit Header) hier posten?