Aber als HTML-Mail würde ich das trotzdem nicht durchgehen lassen.

Ein Mail im HTML-Format war nicht gefordert.

Und nochwas: CGI::header() erzeugt header für HTTP, nicht für Mail.

Das was bisher nicht Thema. Zudem sehe ich nicht was das mit Deiner Aussage

Da fehlen schonmal die Header. Aber so wie der Perlcode aussieht, kann die sogar der Absender selbst hinzufügen per HTTP Request. Einschließlich CC und BCC

zu tun haben soll. Diese Aussage zeigt eindeutig auf Mail-Header. Und auch hier kann der Absender nichts einfügen, was Dritten schadet oder diese belästigt.

Das einzige, was mir am Skript aufgefallen ist, ist dass dem Mail-Header noch eine Zeile mit dem Content-Type und der Kodierung (hier UTF-8, muss oft angepasst werden) hinzugefügt werden sollte.

Hier also Content-Type: text/plain; charset="utf-8", so dass der betreffende Bereich des originalen Skriptes wie folgt aussieht:

print MAIL <<"EOF";
To: $empfaenger
From: $absender
Subject: Kontaktformular
Content-Type: text/plain; charset="utf-8"

$email_body
EOF

Mit der Sicherheit hat das nichts zu tun, der Empfänger kann das Resultat nur besser lesen wenn nicht-ASCII-Zeichen (z.B. Umlaute) drin stehen sollen.