Вы можете проверить - есть JavaScript, который заполняет скрытое поле формы определенным значением после загрузки страницы. Затем, когда страница отправляется обратно на сервер, проверьте в этом скрытом поле формы ожидаемое значение. Если его там нет, это означает, что JavaScript не был выполнен.
Относительно того, следует ли считать, что это спам, это совсем другая история, и на самом деле она не имеет определенного ответа. Вы можете просто иметь тег <noscript>
и указывать пользователю, что его отправка не будет выполняться, если он не включит JavaScript.
Однако, если у вас запущен JavaScript, спаммеры просто используют другой обходной путь для этого. :)