Есть форма обратной связи, которая передает данные через AJAX в PHP, где PHP отправляет эти данные на почту через функцию mail(). Любой, даже не зарегестрированый пользователь может отправить эту форму. Поэтому я думаю, что кто-то может отправить кучу форм или написать скрипт который будет это делать постоянно. Как вариант я думаю ограничить количество разрешенных отправленных форм за день. Но как это сделать, если пользователь не зарегестрирован? Какой есть способ обезопасить форму?
Из здесь обсуждавшихся самый простой способ обломить ботов - скрытое поле, в которое скрипт на странице вводит длину сообщения перед отправкой. При заполнении ботами оно будет либо отсутствовать, либо пустовать.
Капча - не помогает. Рекапча - здорово мешает пользователям, сидящим на загруженных каналах (мобильных, например). Угадывание витрин и лестниц на мутных фотках... так ли им нужен ваш сайт?