saludos,
contra los spamers, olvidate de las validacions javascript, se saltean muy facil si no armas bien tu php.

la mas facil es bajarse tu pagina, solo donde tienes el formulario, modificarla a gusto, o sea, quitar todos los chequeos javascript de los ingresos, linkear a la ruta ABSOLUTA de tu php, modificar los campos TO, agregar el campo BCC: que se hace muy sencillo, y modificar el contenido del mensaje para enviar todo lo que quieran.

alguna de las precauciones, ademas del capcha, que si no lo vas a implementar debes tener si o si en cuenta.

1, que el php solo sea accesible / y solo reciba las variables desde UN unico dominio. de lo contrario que muestre mensaje de error.

2, no permitir desde php el ingreso de comillas puntos y @ en ninguno los campos, y para el campo e-mail, hacer una unica exepcion de colocar solo una @.

2,b No debes nunca usar nombres para tus paginas como: form, mail, e-mail, mailform, formMail, ni nada que se le parezca, los buscadores de formularios automaticos, buscan por nombres de archivos y saltan de links en links buscando paginas llamadas p.e form.php o form.htm o form.xhtml y demas... por lo tanto es otro punto a favor jamas usar esos nombres para tus formularios. y ojo, que los buscadores no rastrean esos 5 nombres... buscan montones de convinaciones posibles.

3, si llevas el punto 1 y 2 veras que el spamer solo podrá enviar de a un e-mail por vez, pues la proxima es usar sesiones, que nadie pueda enviar mensajes por mas de x tiempo.

4, añadir todas las protecciones posibles mediante javascript, la idea es que primero, nadie pueda echar mano a html, bloqueando opciones desde php, y luego bloquear el html para que tampoco puedan usar autocompletadores en tu web.

5, y esta deberias hacerla antes de las otras, consultar con tu servidor de hosting, la mayoria de los servidores poseen formularios seguros disponibles para los usuarios, esto les evita problemas, pues que te usen el formulario a ti, significa que coloquen en lista negra los ip de tu servidor de hosting y luego tu servidor tiene problemas con sus clientes a casusa de un formulario. es negocio para ellos facilitarte el form. si no te facilitan el formulario es probable que te puedan dar informacion muy util sobre como armar un form seguro.

saludos,

En cuanto a toda la parte tecnica, pues, yo no soy un programador php avanzado, solo diseñador, pero en mi grupo de trabajo, estoy con 2 programadores php y entre los 3 hemos podido darle pela a los spamers

y solo decirte que todas las precauciones que tomes siempre serán pocas.