ログインユーザーにまでCAPTCHAを求めるとウザい

1分とか1時間に送れるメッセージ数に上限を設ける
一度に多数の人に送れないようにする
同じ内容を同じ人に続けて送れないようにする
NGワードを設ける
サイト外(のメールアドレス)には送れないようにする

とか考えたらいくらでも思い浮かぶのが普通

他のサイトがどうしてるか学ぶべき