Se você está usando Debian, então seu processo do sendmail provavelmente será exim4 ou postfix . Esses programas têm processos de configuração significativamente diferentes, sendo ambos mais simples do que o processo para o programa sendmail original.
O Sendmail tende a ser usado por vários processos do sistema, portanto, restringir o acesso local a apenas um processo pode causar problemas. (Muitos processos de monitoramento do sistema usam o email para notificá-lo sobre problemas).
Você pode restringir as conexões de saída para a porta 25 apenas para seu processo de e-mail com iptables . Isso impedirá que qualquer processo malicioso envie emails diretamente.
Você pode classificar os e-mails de saída com iptables ou seu programa sendmail (o exim4 tem esse recurso, o postfix pode tê-lo).
Você pode restringir os ids de usuário de envio válidos para evitar remetentes aleatórios. Você pode exigir que o usuário do apache autentique antes de enviar o email. Isso tornará mais difícil do código injetado para o seu site para enviar e-mail.
Se você fizer o contact.php corretamente, poderá (e deverá) limitar o domínio de envio ao seu domínio. Não permita o uso de domínios aleatórios em emails enviados. Use um endereço de resposta se quiser responder a um nome fornecido para contact.php .
Certifique-se de fazer o resto da configuração do seu servidor de e-mail para evitar que seu servidor seja classificado como Spam.