Derjenige der sich registriert, validiert nicht einmal seine E-Mail, auch wenn ich ihm mal genügend Zeit dazu gegeben habe (um es mal auszutesten!).
Du hast also eine Datenbank, aus der hervorgeht, welche "Anmeldungen" nicht "validiert" wurden.
Was hindert Dich an Folgendem?
- "Unvalidierte Anmeldungen" automatisch nach Ablauf von $X Tagen oder Stunden löschen. Das kann man per cronjob oder eben bei jeder Neuanmeldung mit erledigen lassen.
- Nachzählen, wie viele "unvalidierte Anmeldungen" von der selben IP beim Eintreffen einer weiteren "Anmeldungen" schon vorliegen und bei Überschreiten von $X kurzerhand einen 403er senden.
- Die IP eines solchen Vielfachversuchers zeitweise der Firewall zu Fraß vorwerfen oder vermittels der .htaccess blocken. Ich mache das mit der Firewall und Cronjobs.