Moin cr,
ist das falsch?
Ich gehe stark davon aus, dass das nur geht, wenn man „eingeloggt” ist, sprich, der Session-Cookie gesetzt ist. Sonst könnte man ja wirklich einfach beliebige User zuspammen.
Außerdem meine ich gelesen zu haben, dass Facebook auf HTTPS umgestellt hat. Deine URL müsste demzufolge also https://www.facebook.com/ajax/chat/send.php sein.
LG,
CK