hi,

$from ist fix belegt durch
$from="homepageformular@".$_SERVER[HTTP_HOST];

Auch der Hostname wird vom Client übermittelt.

(Wenn dieser nicht "stimmt", dürfte es zwar in einer Shared Hosting Umgebung evtl. schwierig werden, dein Script überhaupt zu erreichen - aber "unmöglich" dürfte das Einschleusen von unerwarteten Werten darüber trotzdem nicht sein.)

gruß,
wahsaga