Parece que você está descrevendo algo que pode ser usado para enviar emails não solicitados (o "email de recebimento para o usuário"). Isso é spam e, independentemente do CAPTCHA, será abusado. Eu diria ao seu cliente que o email de "recebimento" viola a política de uso aceitável com o seu host (porque provavelmente o faz) e a desativa.