Ich gehe davon aus, dass die Anfrage gar nicht erst in einer Datenbank landet sondern direkt per Mail verschickt wird?

Dann ist das kein Sicherheits-Problem, sondern eher ein nerviges 'Spam-Like' Problem.

Viele dieser Angriffe sind automatisiert. Das heisst da läuft irgendwo ein Tool und probiert die Dinger automatisch durch, ohne User-eingabe. Meistens scannen die Tools die Webseite, erkennen die Formularfelder und führen einen Post darauf durch.

Du könntest das Formular z.B. so absichern, dass Du ein Eingabefeld mit type="hidden" in das Formular packst und dort einen Wert reinschreibst. Ein Javascript auf der Seite nimmt das Eingabefeld und schreibt dort einen anderen Wert rein. Beim Auswerten des Formulars schaust Du, ob der ursprüngliche oder der andere Wert zurück kommt - wenn es nicht der neue war, war das niemand mit einem Browser, und die Eingabe kann verworfen werden.

Somit bekommst Du höchstens noch manuelle Angriffsversuche mit.