Вы можете отслеживать IP + UserAgent на сервере в течение короткого промежутка времени, но вы не можете зависеть от отслеживания cookie (так как пользовательский агент, такой как cURL, может просто игнорировать сохранение его), если только не требуется действительный cookie, соответствующий сеансу взаимодействовать с вашим сайтом.
Если IP-адреса или пользовательские агенты, рассылающие спам по вашему сайту / приложению, постоянно меняются, нет смысла даже хранить их на сервере для имитации cookie-файлов. Вы хотели бы создать CAPTCHA для защиты от спама.
Нам нужно больше информации, чтобы она была менее общей. ;)