Давайте разделять проблемы защиты от спама от каналов выхода на сайт.
Тор - это не более чем еще один способ установления соединения с сайтом.
Суть - у вас меняется IP-адрес и обходится блокировка провайдером. Остальное - неважные в данном контексте тонкости.
Даже мне ничто не мешает (кроме разума) купить однодневных VDS'ок, настроить цепочки прокси и долбить сайты спамом. Заблочат - невелика потеря, перестраиваем цепочки + включаем халявные/платные прокси... Я на 100% уверен, так спамеры и работают, хотя в их работу не вникал. Просто этот метод приходит на ум как самый очевидный и работающий.
Далее. Если обычным cURL'ом (на самом деле чуть сложнее - PhantomJS) я, т.е. чуть более чем нуб, могу отметить чекбокс "я не робот" и получить желанные куки, то для профессиональных спамеров это даже не рассматривается как проблема.
Проблемой это является для большинства простых пользователей программ. Которые их используют, а не программируют и не общаются с сайтами через PhantomJS.
/UPD Кажется, по поводу лёгкой капчи я (будучи нубом) перегнул палку. Для меня это выглядит как просто "чекнуть галку", но как её грамотно чекнуть - это, боюсь, проблема :) Хотя у меня
есть свидетельство, что капча хоть с костылями, но таки обходится. Но это неприменимо к широким массам.