Как я понял, дело тут не в безопасности, а в самой работе данной функции.
PHP-функция
mail на самом деле не отправляет письмо как таковое, а лишь передает его к
MTA, а тот в свою очередь уже отправяет письмо.
Причем чтобы данная передача состоялась, php должен знать куда передавать (см. sendmail_path в ini файле / php -i / phpinfo() ).
Так, если sendmail_path директива не задана, то и отправки почтовой не будет.
Существуюет несколько способов решить данную проблему:
1) Сконфигурировать MTA и подключить его к php, если у Вас VDS (Например
подойдет статья или можно задать аналогичный вопрос на тостере)
2) Подключить внешнюю библиотеку ( например
Swift Mailer или
PHPMailer) и использовать ее
Простой