Hola
Hace unos días un administrador de uno de los alojamientos que tengo me mandó un correo avisándomen de que estaban utilizando uno de mis formularios para hacer SPAM haciendo una simple inyección de cabeceras en la función mail().
Existen un par de formas rápidas de evitarlo:
http://www.securephpwiki.com/index.php/Email_Injection
http://www.au.cl/tutoriales/article.php?id=064
Por lo visto es un problema muy común y muy explotado por los SPAMERS.
Además el uso de vuestros correos o el de vuestros clientes en correos SPAM puede causar que se incluyan en las listas negras de correo.