Ciao, tempo fa ho avuto un problema analogo con il guestbook di un amico.
La soluzione migliore è fare uso di captcha, per essere "sicuri di aver a che fare con un utente e non uno script automatico.

Se invece non vuoi che l'utente inserisca a mano il codice del captcha come soluzione intermedia si può usare javascript.
Quando crei la pagina inserisci un campo hidden con un codice generato a caso, e al momento dell'invio del form sostituisci il codice del server con un altro elaborato tramite javascript.
Anche una cosa semplice, come esempio lo stesso codice invertito, oppure se usi un codice numerico puoi restituire il codice del server + 1, o simili.

Naturalmente questa soluzione non è efficace come la prima, ma ha il vantaggio di non richiedere nessuna ulteriore interazione dall'utente.