Zwei Hinweise.

Dein Gästebuch ist offenbar nicht nach modernen Richtlinien geschrieben
Zum Beispiel verwendest du globale Variabeln.
Dazu werden dir PHP bewanderte mehr verraten.

Zum Captcha: Es ist ein Bildcaptcha.
Nichts gegen Bildcaptchas, aber alles gegen fehlende Alternativen.
Ich habe mir überlegt, dass pure Text Rätselcaptche zugänglicher sind
und für private HPs eher den Zweck erfüllen, als Captchas in Bild UND Ton.

Ansonsten würde ich für eine private Homepage zuerst eine Baterie von anderen Tests durchführen, um das Captcha zu vermeiden.

• Das Gästebuch Formular darf nur verlangt werden, wenn gleichzeitig eine gültige Session-ID gesendet wird.
• Den Request kann man validieren (existiert ein Accept header?)
• eine kleine Zahl von UAs kann man ohne viel Aufwand und Nebenwirkungen ausschliessen ( "", "libwww", "java", etc...)
• man testet, ob ein Feld, das NICHT ausgefüllt wurde, vom Bot ausgefüllt wird.
• man anonymisiert die Feldnamen.

Ansonsten sage ich Hep hep Hurray, dem, der noch nicht vor den Bots resigniert hat, und Formularzugang von einer Registration abhängig gemacht hat.

mfg Beat