Um die Website vor Spam-Bots zu schützen sollte man ja zuerst einmal Wissen wie diese arbeiten.

Nein, das ist unnötig! Spambots gibt es in so vielen Varietäten,
vom Perl Mechanize über Browser Plugins bis zu den Billiphilippinos oder jenen, die ohne es zu wissen, über eine Captchalösung anderen zur Errichtung von Captcha geschützten Accounts ermöglichen.

Um eine Website vor Spambots zu schützen, gilt es zuerst, Usability zu Ende zu denken. Beispiel Blogkomments oder Formmailer...

• Sollen Doppelpostings möglich sein?
    nein-> dann gib jedem Formular eine unique-ID mit Verfallsdatum.
• Kann der User jederzeit ein Posting ändern?
    nein -> dann erzwinge eine Vorschau.
• Soll jeder Troll seinen Mist posten können?
    nein -> dann erzwinge für unregistrierte Beiträge eine Freischaltung.

Wer Anwendungen aus Usersicht fertig programmiert, der erschlägt 95% der Spambots.

Es gibt allerdings Bots die schwerer zu stoppen sind, wenn diese als Browserplugin laufen und ergo Cookies und Javascript ausführen.
Hierbei gilt aber, dass sich Angriffe auf verbreitete Implementierungen konzentrieren.
Wer z.B. seinen Formmailer selbst und richtig programmiert, oder ein weitgehend unbekanntes Produkt verwendet, ist kaum in der Schusslinie.

Letztlich sind die geforderten Schutzmassnahmmen abhängig vom erzielbaren Schaden durch Missbrauch.

mfg Beat