Bueno, en ese caso interviene la función mail(), que por lo general tiene un uso limitado por los servidores web, por lo que yo haría el tema lo mas "seguro posible", intentando que no la usen para molestar.

Yo el tema de las cookies lo descartaría, ya que el cliente tranquilamente puede restringirlas en su navegador.
Con las sesiones estamos en un problema similar. Si propagas el SID por cookies dejas mucho control de las mismas al cliente (que puede borrar esa cookie), y si lo propagas por la URL estas en las mismas.

Personalmente optaría por guardar la IP, un timestamp y el ID de la noticia en una base de datos, y restringir los envios durante cierto tiempo. Tampoco es un método con el que vas a estar seguro que no te enviaran una "recomendación" mas de una vez, pero ya es algo mas molesto andar cambiando la IP.

Tambien podrías hacer que solo usuarios registrados y validados puedan recomendar, y ahí estarías logrando un control mucho mayor sobre el tema.

En fin, queda en tí la desición en base a que nivel de control le quieras dar al sistema.

Saludos y muy feliz 2006!