и сколько же правил понравится чтобы все варианты слова секс отфильтровать?

Теоретически одно(я не спец по регуляркам), типа поиск в цикле по словам сообщения, из базы слов - (регулярка).$var.(регулярка), где $var содержит очередное значение - sex и тд..

Я не уверяю что это идеальное решение, или даже хорошее, особенно если учесть что база может быть большая, а значить и проходов по ней будет много, что займёт время, но как одно из решений вполне жизнеспособное.

если же текст из формуляра куда то перенаправляется, то спаммеру не проблема вначале послать на подставной адрес и проверить проходит текст или нет

Я не спамер, поэтому хз как и что там делается у них, так что понятия не имею как спамер может проверить, на какой мейл ушло, если отправка идёт через серверный скрипт... Я к примеру могу проверить что мейл валидный, если я его знаю, но формы джумлы/вордпрес то в себе не содержат мыло в открытом виде, если на сайте явно не указать, само сообщение отправляется через серверный скрипт, а он может отправить на какой угодно ящик, при этом в сообщении на ящик спамера, подтверждающего отправку, можно подставить правильный мейл, что может заставить спамера думать что всё норм.

Есть конечно возможность проверить дефолтный мейл через уязвимости системы, но это уже задача для хакеров, а спамеры, которые вручную спамят, думаю этого не смогут сделать, как и проверить ушло ли сообщение. Иначе бы они это не в ручную делали бы, а написали бы спамбот. Вручную спамят обычно конкуренты, и всякая школота ради поиграться, которые других вариантов не знают.

Хотя в данном случае, то что спам приходит раз в несколько дней, ещё конечно не значит что спамят в ручную, так могут и боты спамить, подстраиваясь под обычный клиент, так как просто обычная капча не гарантия защиты, норм боты её могут обойти.

Ну, и на худой конец, есть онлайн сервисы, которые делают защиту от спама, не бесплатно конечно, но и не дорого, что снимет нагрузку на свой сервер.

В любом случае, борьба со спамом в том или ином виде всё же лучше, чем тупое игнорирование, и последующее ручное вычищение рабочего ящика от мусора. Хорошо когда в неделю 1-2 спам мейла, а что делать если начнут в день сотню таких присылать? Сидеть и вычищать вручную?

то спаммеру не проблема вначале послать на подставной адрес и проверить проходит текст или нет

Ну так для этого и создаётся отдельный ящик для спама, что бы на него спам отправлять, и оставить главный ящик ток для чистой почты. Пусть себе спамер проверяет, есть он или нет, если он его узнает конечно.

Vovan(ator), ты логи глянь, по дням когда спам приходит, от куда идёт. К примеру если спам идёт примерно с одного и того же айпи, то можно определить страну, и если она к примеру какая банановая республика, то можно просто заблокировать.

У меня к примеру есть один городской сайт, который ток на горожан рассчитан, так его как с начало спамили по чёрному, в день до сотни мейлов(закрыл форму с начало на показ по германии), а потом и вообще поломали, айпишники шли из китая. ХЗ чего китайцам или кто там через их айпи спамил и ломал, нужно было от сайта, но после того как я закрыл доступ к сайту с привязкой чисто на германию, с разрешением индексации его ток основным поисковикам, как спам и попытки взлома прекратились, уже 4 месяца тихо как в танке, иногда(пару раз в месяц) по логам видно что стучатся на сайт из вне, но на этом всё. Я просто отдаю всем кто не из германии страницу ошибки сервера, что бы горе-начинающие хакеристы и спамеры думали что сайт лежит.

Естественно такой экстремализм подходит не для всех сайтов, но как вариант может существовать, если правильно подойти к нему.