hi,

und wie machen die spammer das denn.

programmieren die ein skript, das mein formular mit werten füllt und abschickt und das ganze in einer endlos-schleife.

Ja, solch ein Script nennt man dann (Spam-)Bot o.ä.

wenn dem so ist dann kann ich doch abfangen, dass nur dann mein skript ausführbar ist, wenn es direkt von meiner domain gestartet wird.

Das ist technisch nicht so wirklich möglich.

Auch ein Bot ist nur ein Client, wie ein Browser auch.
Und was der dir schickt, kann dem was ein Browser sendet so ähnlich sehen, dass du keinen Unterschied feststellen kannst.

Simple "Schutzmechanismen" wie Referrer-Abfrage sind heute für keinen Spammer mehr ein Hindernis.
Eine Session legt die Messlatte etwas höher, aber auch damit kann ein Bot umgehen, wenn er erst mal deine Seite "normal ansurft", und sich eine gültige Session-ID holt.
CAPTCHAs gelten aktuell bei vielen als letzter Schrei in Punkto Spamvermeidung, aber abgesehen von der Gängelung normaler Benutzer und den dadurch errichteten Barrieren für Benuzter mit eingeschränkten Fähigkeiten werden auch die teilweise schon umgangen.

gruß,
wahsaga