Se podria bloquear por medio de sesiones:

$_SESSION['liberar']
Si existe esa variable de sesion y es mayor que la hora actual, mandara mensaje de error.
Si te permite enviar, entonces creas la variable. $_SESSION['liberar'] = time() + 90;


$_SESSION['intentos']
Por cada intento fallido incrementas en 1 la variable
Si llegas a 3 intentos, entonces $_SESSION['liberar'] = time() + 1800; (15 minutos)


Sera cuestion de probar a ver que tal funciona.