"Ki hogy szokott ez ellen vedekezni?"
Egyre inkább védhetetlen.
Múltkor egy ügyfél szerverén felnyomták az egyik pop logint, és smtp auth-al kezdtek spammelni.
Alig lehetett észrevenni.
Már nem a "ráöntjük a spamet, hogy beledöglik a szerver" a menő technológia.
Valami kínai botnet lehetett, de egy IP-ről max 4-5 levél jött, és 1 perc alatt csak 15-20 levelet nyomtak be több IP-ről. (Összesen egyébként kb 2-300 IP-ről tolták a szart.)
A napi forgalom kevesebb mint 10-20%-al nőtt, a mail queue-ban alig volt több levél mint egy erősebb napon.
Ha direkt nem figyeled valahogy, és peched van, ezt napokig nem szúrod ki, mert teljesen beleolvad a normál mail forgalomba. A csak magyar IP sem játszik, mert pl. ezt a szervert alapesetben több országból is használták. (Adott ritka esetben még kínai IP is lehetett legitim kliens.)
Írtam rá egy kis python scriptet, ha 1 login 10 percen belül 10-nél több levelet küld (ip-től függetlenül), akkor visít.
A fail2ban-al ha jól emlékszem nem nagyon lehet megoldani, hogy ne nézze a kliens IP-jét.