Puedes guardar la ip del usuario y una marca de tiempo, de forma que cada petición de envío comprueba la ip, le resta a la marca de tiempo actual, la guardada en la base de datos, y si es inferior a 180 segundos (20 envíos a la hora) le muestras un mensaje de que no puede enviarlo todavía o cualquier otro evento que controle la situación.

A esta opción le puedes poner tantas comprobaciones y reglas como quieras, configuración de tiempo mínimo de espera, comprobación de cookies, de ip, de session, de user_agent o todas a la vez...

Saludos,