Hi,

/* Diese drei Werte koennen fuer Headerinjektionen benutzt
         * und werden daher extra behandelt.
         */
        $subj   = str_replace(array("\n", "\r"), ' ', $subj);
        $fromName = str_replace(array("\n", "\r"), ' ', $fromName);
        $fromAddr = str_replace(array("\n", "\r"), '', $fromAddr);

Wenn diese drei Werte aus einzeiligen Formularfeldern stammen, deutet die Existenz von Zeilenumbruechen in ihren Inhalten doch mit an Sicherheit grenzender Wahrscheinlichkeit auf einen Manipulationsversuch hin.
In dem Falle wuerde ich sie nicht "bereinigen" und anschliessend trotzdem noch die Mail versenden - sondern den Versand verweigern, und dem Nutzer (so er doch menschlicher Natur sein sollte, und kein Bot, was allerdings fuer verschwindend gering wahrscheinlich zu halten ist) einen entsprechende Fehlermeldung praesentieren.

MfG ChrisB