ciao,

- la stringa di lettere se la metti direttamente nell'html è facilmente falsificabile, prova un sistema CAPTCHA.

- hai rimosso la pagina che contiene il form html o la pagina php che si preoccupa di inserire i dati get/post nel database? nel secondo caso, gli spammers potrebbero inviare i dati via get/post da un loro form o via header alla pagina php.

- se così fosse però dovrebbero arrivarti all'email non c'è nessun altro modo per inserire dati al database? hai controllato inserendo un messaggio di prova se questo andasse nel database o alla tua email?

- ultimo consiglio.. accertati di aver messo online i file dopo che li hai modificati in locale :P

un'ultima cosa, sei stato preso di mira da questi?