no necesariamente, si tienes registros de usuario, implementa el captcha en el login.

si no, muestrale el captcha a las IP que han excedido más de 30 o 20 post al día, claro para ello debes de tener un registro de las mismas, la idea es Detectar aquella IP que se esta pasando de la raya, es decir un robot