36 $email_hauptteil ="$vorname.'<br />'.$nachname.'<br />'.$nachricht.'<br />'.$email;
br's haben da nix zu suchen. Ausserdem kann Dir ein Angreifer leicht unerwünschte Headerzeilen unterschieben, wenn Du diese Angaben nicht validierst.

Ist schon richtig, daß man bei PHP wie ein Schiesshund auf solche Sachen peinlich acht geben muss. Hat Simon in dem Fall aber getan. Alle Stringvariablen ergeben sich aus  $_POST[] bzw. @$_POST[] und sind damit narrensicher.

1 <?php
2 if (@$_POST['gesendet']) {
3   $vorname = @$_POST['vorname'];
4   $nachname = @$_POST['nachname'];
5   $email = @$_POST['email'];
6   $nachricht = @$_POST['nachricht'];

Die Werte können nur aus einer Aktion stammen die was mit POST zu tun hat. Können in einer Headerzeile also jetzt nicht mehr angegriffen werden, etwa so:
/script.php?vorname=stefan&name=muenz....

wichtiges Thema! Nicht umsonst wird bei heise.de im Forum immer und immer wieder ghöhnt, geätzt und gelächtert wenns um irgendwas rund um PHP geht. mal "taugt PHP nix", ist nur für "Anfänger oder Amateure" und und... Dabei muss man faktisch gesehen nur einige Sicherheitsregeln beachten. Leider gibts bis dato kein übersichtliches Kompendium für PHP Sicherheit was man genauso schnell lernen kann wie PHP selber!?
aaaber auch da lass ich mich gern hauen und eines besseren belehren :)

schönen Sonntag