Kan først kommentere gjesteboken du har oppdatert. Jeg ser du har lagt til htmlentities rundt output, som er bra. For å hindre spam og tulleinnlegg kan det også være lurt å validere input før du lagrer, men dette har lite å si med tankte på XSS (fordi du gjør output om til entities).

Så til spørsmålet. Det alt for mange gjør feil i kontaktskjemaer er at de sender mail uten å validere header-informasjon. Du har forsøkt å validere e-post, men det uttrykket i preg_match ser bare om den innholder @ og punktum. Dette er med andre ord alt for tynt. Det du må gjøre er å hindre bruk av linjeskift. Ved linjeskift lager man en ny header, og kan f.eks legge til flere mottakere slik at man kan bruke nettopp dette scriptet for masseutsendelse av spam. Det finnes mange gode uttrykk (regexp) for validering av e-post hvis du søker litt - kan bl.a. anbefale norskwebforum.

Det samme gjelder emnet. Du setter emnet helt uten å validere eller rydde opp i linjeskift.

Lykke til