hay varias formas de hacerlo, pero todo es vulnerable, tenerlo en cuenta, el referer tb se puede trucar.

formas efectivas, a mi ver (aparte de los checks q ya se han dicho).

- Usar variables de sesion (el form no va a ser la primera pagina, por lo tanto, ya habra visitado otras paginas, y puedes meter un switch con una variable de sesion).

- Limitar el número de envios por IP.

- Pedir q introduzca una clave q aparece en un archivo grafico. Esto es demasiado paranoico, lo se, pero bueno, io lo uso para las altas en las webs.

en cualkier caso, tb puedes hacer un $textofinal=$textointroducido."mensajito enviado desde formulario en la pagina web tal, por user con la ip tal, y diciendo q si le han enviado spam lo notifique";

Y confiar en la gente xD