Hola,
La verdad es que no sé qué pueden pretender hacer con el formulario, puesto que, aunque intuyo que puedan querer enviar correo basura, por poner un caso, lo cierto es que no deja de ser una intuición un poco vana, lo reconozco.
No sé. Se me ocurre que valides todos los campos del formulario. El nombre, por ejemplo, puede estar limitado en longitud (de caracteres) y en cuanto a los caracteres que puede admitir: sólo letras, por ejemplo.
El correo electrónico puedes también validarlo, comprobando que se trate de una dirección de correo electrónico sintácticamente válida. Encontrarás varias funciones en Internet sobre esto: casi todas hacen uso de Expresiones Regulares.
El texto del correo (el contenido del "textarea") puedes también validarlo atendiendo a su "longitud", o buscar en el mismo caracteres "especiales", es decir, podrías no permitir sino caracteres alfanuméricos (otra vez aquí entran las Expresiones Regulares).
Con esto último, es decir, al cuerpo del email podías también aplicarle alguna función, como pudiera ser la que remueve del contenido las etiquetas HTML, de ese modo el "<br>" de tu ejemplo no hubiera "pasado", por ejemplo. Creo que la función de que hablo es:
strip_tags