mail($_POST['email'],
     'Kopie Ihrer Nachricht ',
     stripslashes($_POST['message']), $extra)

Der Grundregelverstoß ist schon, dass der Benutzer Empfängeradresse und Inhalt eines der beiden Mails bestimmt.

Lösung:

Das Bestätigungsmail keineswegs versenden, sondern nur auf der Webseite anzeigen.