В данном случае майл.ру (их серверное веб-приложение) ваш MAC-адрес получить не может, что объяснялось уже много раз (разные сети, разные протоколы - разные уровни сетевой модели, ни в HTTP, ни в сокетах TCP нет mac-адреса).

Возможно, они получают какой-то отпечаток браузера. Вы можете блокировать попытки сбора компонентов отпечатка. Таким компонентом является та же технология WebRTC, или Canvas, всё что угодно. Но имейте в виду, что блокирование браузером подобных вещей в приличной системе безопасности уже является сигналом для применение каптчи, т.к. очевидно, что пользователь что-то хочет скрыть.

Также вы упустили один их ключевых моментов - использование впн, прокси. Сам факт использования впн или прокси уже должен вынудить использовать каптчу. Серьезные системы это отслеживают (борьба с авторегистрацией, ботами, спамом через веб-панель и прочее). Кроме впн и прокси они могут проверять ip на любые нарушения - те же спам базы, как пример. Ещё они могут вести свои базы адресов на основе каких угодно показателей.