Normalmente el mail es enviado desde el propio sevidor donde reside el script, no desde el mail que ha introducido el usuario en el formulario. Como te han dicho se puede comprobar que el mail parezca real e incluso que el dominio o mail exista (aunque enlentece un poquito el proceso ya que necesita hacer la verificación antes de saber si existe).
Al código del formulario se le puede añadir, por ejemplo, un campo oculto para que guarde la dirección IP del usuario (ten en cuenta que muchas conexiones a Internet son con IP dinámica, es decir que cambian cada cierto tiempo, que se pueden usar proxy, etc.)
Para ver como obtener la IP del usuario puedes revisar:
PHP: ¿Cómo puedo optener la (IP) del Cliente? PHP:¿Cómo registro la Dirección IP, de las Pcs que ingresan a mi sitio Web?