フォームにおける脅威について

大量にSPAMが届く可能性があります。
それでも問い合わせを見落としてはならないので、一般的なSPAMフィルター等は入れられません。
自前でのフィルタ実装を前提としたmailクライアント考える必要があります。

HTMLだけでメールフォームを作ることは不可能ですので、脅威はありません。

と思ったけど、action=mailto で作るおつもり？

思い付きレベルですが、
例えば以下みたいな実装にすれば、
メールアドレスを見つけたら無差別にスパムを送りつけるようなケースには対応出来そうな気がします。

スパマーのクローラーのリソースは有限なので、自動で解くにはちょっと面倒にすることで避けてもらう方向です。

一回でも人手で対応されたらアウトですが、その場合はメールアドレスを変更することで対応してイタチゴッコに勝つ方向で。

ただ、どう考えてもサーバサイドでの実装で頑張る方が確実でかつ楽です。

その1

1. フォームのページを.htaccessで日本以外からのアクセスを拒否する。
   1.フォーム自体をjavascriptで動的に生成する。javascriptの実行はスクレイピング時にコストが大きくなるので、実行しないクローラーはここで諦める。
   2.mailtoはフォーム生成時には作らず、フォーム入力が完了した段階で動的に生成する。メールアドレスはバラバラにして変数に格納しておき、javascriptが実行するかソースを理解しないと分からないようにする。
   3.2.のタイミングで、動的に画像を生成して表示される数字を入力させるなど、すると、簡単なjavascriptを実行するようなクローラーにも対応できるかも？普通はサーバサイドと組み合わせないとセキュリティ的には意味が無いです。

その2
フォームのあるページにbasic認証をかけ、フォームへのリンクがあるページにそのid/pwを書いておく。画像ならよりベター