Purtroppo ormai la maggior parte dei BOT, se sono programmati bene, riescono a fare una specie di OCR con i codici captcha e li eludono...
Sui guestbook che gestisco prima di tutto metto un filtro sull'IP, nel senso che se hai firmato il guestbook, non puoi piu' firmalo per un tot (una settimana, nel mio caso), cosi' eviti la maggior parte dello spam "massiccio"... il resto devi farlo con filtri su particolari parole, o caratteri speciali, o altro... potresti anche mettere un codice di sicurezza pubblico da inserire al momento della firma, indicando dove andarlo a trovare. Ad esempio "puoi trovare il codice di sicurezza nella sezione 'chi siamo' di questo sito, in fondo alla pagina". Nella sezione poi in fondo scrivi il codice, cosi' i BOT vengono bloccati e le persone vere no. Semplice ma ti assicuro che funziona.