Repito lo escrito en el otro post, porque no sé cual va a continuar.

Hola.

Desde luego, la solución de poner maxlength en el campo mail, como dije ayer, funciona si el intento de abuso se hace desde la página. En este caso, se corta la cadena al número de caracteres que haya predeterminados y el script de envío se ejecutaría enviando el email a una dirección que no existe.

Eso si no hay validación en el script de envío. Si la hay y está bien, ni se enviaría. Daría error.

Otra cuestión es si el form lo envían desde otra página. En este caso, el maxlength no actuaría como es obvio y si no hay verificación del lado servidor (en el script de envío), entonces sí que se ejecutaría y se enviaría el spam.
Me parece de todas formas que es este caso el tiempo de ejecución del script, actuaría. (no estoy seguro).

La solución en todo caso es sencilla:

- Control del campo mail del lado servidor antes de ejecutar el script con:

*verificación de la expresión regular que llega del campo mail.
*limitación del número de caracteres que llegan.
*verificación de que lleguen de la página donde tenemos el form.

Es decir, poniendo toda la seguridad del lado servidor.

Yo lo veo así, pero más opiniones serían muy interesantes.

Saludos.