如何预防邮件表头注入？

想问的是，如何注入邮件表头，可使我们的程序更安全。

要注入一个“To”表头到网站联系页面的邮箱输入文本框中，常用的注入方式是添加一个新行

trap@trap.example.com%0D%0ATo:bob@example.com

但这样的结果如下

From: <trap@trap.example.com%0D%0ATo:bob@example.com>
To: webmaster@example.com
Subject: ...

不是想像中的

From: <trap@trap.example.com>
To: bob@example.com
To: webmaster@example.com
Subject: ...

想重现攻击效果，哪里有问题呢？