ここで相手の視点に立って考えることにしました。ソフトウェア技術者としての知識と技術を持ち込み、スパム業者がどういう手法を使っているのかcgiの動作を詳細にログする機能で追跡してみたのです。
すると、通常通りの手順で「一覧表示、入力、投稿、確認」していくタイプの他に、一覧表示をトバしていきなり入力・投稿してくるタイプがあることが分かりました。
つまり、既知のタイプの掲示板に対し、上で書いた「投稿インターフェースをまねたデータ」を直接送りつけているんです。まあ、ちょっと知識があれば思いつく手なので珍しくもないのですが。
また、送りつけるデータ、投稿に要する時間などにも色々な特徴がありました。
　
相手の投稿パターンが分かってきたので、次にスパムと非スパム（通常の利用者）との違いを検証していきました。利用者に負担をかけない（気付かれない）ようにコッソリ試行錯誤を繰り返し、その結果以下のような仕組みによってスパムをほぼ遮断出来るに至りました。