Entiendo lo que pides, la verdad es que es muy comprensible. No solo por los "graciosos", sino por los spamers. Se puede hacer perfectamente lo que pides. De hecho yo implemente un captcha (como ya te han sugerido) en plan básico con sumas de números, y un sistema similar al que pides con sesiones y combinadolo con registros de ip con fecha y hora del envio que se graban en una table de mysql, y luego iba comparando la ip con la fecha-hora de envio y si, por ejemplo contaba que había enviado más de 10 mails en cinco minutos bloqueaba la ip durante un tiempo determinado.
También se puede hacer solo con sesiones (más sencillo en principio), lo malo es que si el gracioso o spamer puede cerrar el navegador y al volver abrirlo se se crea otra sesion, aunque puedes utilizar cookies como te han sugerido.

Se puede hacer de muchas formas.