Ип меняет как перчатки, X_FORWARDED_FOR пустой, юзер агент тоже, разумеется, меняется.
Даже капчу посылает верную. Ну с капчей-то как раз все понятно, есть куча сервисов по ее разгадыванию.
Удалось избавиться от него очень дешевым приемом
<input type="hidden" name="check" value="" id="check" />
<script type="text/javascript">document.getElementById('check').value = 'ok'</script>
Тоесть проставляется ява скриптом value для скрытого инпута, и соответсвенно в скрипте проверка
<?php if ($_POST['check'] != 'ok') die('spam'); ?>
Вот так, дешево и сердито :)
Конечно, этот вариант не даст отправить посты тем, у кого отключен ява скрипт, но даже среди мобильных устройств таких 10% максимум.