hi,

aber so eine kleine Grafik kopiere ich mir als Spammer auch gerne, wenn's mich zum erwünschten Erfolg führt.

Wenn diese Grafik zufällig und dynamisch erzeugt wird, bringt das dem Spammer gar nix. Man muss ja nur der Grafik eine begrenzte Lebensdauer geben.

Der Bot ruft deine Formularseite auf, du startest eine Session, und generierst ein Captcha-Bildchen.
Dieses Captcha-Bildchen kann sich der Bot wie jeder anderen Client auch herunterladen, lokal abspeichern und woanders wieder einbinden.
Und wenn er dann zeitnah genug einen menschlichen Nutzer zum Abtippen des Codes bringen kann, dürfte er auch noch vor Ablauf deiner Session genug Zeit haben, diese wieder aufzunehmen, und ein ausgefülltes Formular inkl. dem Sicherheitscode posten können ...

gruß,
wahsaga