Huhu Fabienne,

ist es möglich, dass jemand über ein Formular die FROM-Adresse einschleust und somit ein SPAM-fähiges Formular gefunden hat?

Ja.

mail($to,$betreff,$text,"FROM:".$from);
Die Vars to, betreff sind fix definiert. $text wird aus dem Formular übernommen.

Und was ist mit $from?

Könnte also jemand in die Var $text irgendwas wie z.B. "blablabl , FROM:meine_SPAM@adresse.de" reinschreiben und damit der Funktion Mail eine FROM-Adresse vorgaukeln?

Nein, aber mit $from.

http://de.wikipedia.org/wiki/E-Mail-Injektion

Viele Grüße

lulu