Bueno , tambien tienes que poner proteccion por el lado del servidor, ya que si un usuario con malas intenciones, envia el formulario desde otro html o via get en la URL, puede insertar el correo que quiera, etc ...

En este tips, la ultima Funccion 7 is_email($email) , permite comprobar si un string contiene un correo bien formado ( simbolos permitdos y el @)

Saludos