私は以前から「問い合わせフォーム」には懐疑的だった。
どうやってフォームに入力されたメアドが入力者本人のものか検証できないからだ。

なので自サイトにはフォームは設置せず、連絡用メールアドレスのみを記載している。
面倒なのはわかるが、フォームは信頼できないので。

フォームじゃなくメールで送ってきたなら、SPFやDKIMがどうなってるかヘッダー分析もドメイン分析も出来る。

もう一歩労力をかねるなら、OpenPGPやS/MIMEも使える。

攻撃者は隙をついてくるなぁ。。。