Wie du schon selbst festgestellt hast, verwende ich eine sehr einfache Vorlage was ich da überblicken kann schaut für mich nicht so aus als würde irgendwas umgeleitet oder sonstwie ver-"bockstürzt"

Schon gehackt: Ich verwende für die DEMO alle "Sicherheitsprüfungen" (Er ) des originalen Autors.

<?php

# $name = $_POST['name'];
# $email = $_POST['email']; 

# Simulierte Formulareingaben:
$name='Böser Hacker';
$email = "foo@example.com>\r\nBCC: Spam Empfänger<bar@example.com";

# Die einzige "Prüfung"
if (
	! $email == '' 
	&& (
	  ! strstr($email,'@') 
	  || !strstr($email,'.')
	)
) {
	$msg = 'Your email address is not formatted correctly!';
}

$headers = "From: ".$name." <".$email.">\r\n";
echo $headers;

Ergebnis:

php test.php
From: Böser Hacker <foo@example.com>
BCC: Spam Empfänger<bar@example.com>

Ein Hacker kann also die Nachricht an eine faktisch nicht begrenzte Anzahl weiterer Empfänger senden. Das "captcha" kann er automatisch knacken.

Das ist genau wovor ich warnen wollte.