Hallo

$_POST['email'];
$_POST['betreff'];

Beide Angaben kommen in den Mailheader. Dort werden einzelne Angaben per "\r\n" (Windowszeilenumbruch) voneinander getrennt. Prüfe beide Angaben auf Zeilenumbrüche. Falsche Angaben (mit Zeilenumbruch) sind meist (eventuell *könnte* eine Mailadresse beim kopieren und einfügen einen Umbruch ohne folgenden Inhalt enthalten) bewusst gesetzt und als Angriff zu werten. Verwerfe die Angaben und damit die Mail.

Tschö, Auge