Чтобы не попадать в спамлисты, то тупо закрыть 25ый порт на out (stateless). Чтобы защитить от вирусов-сканеров, как уже сказали, надо прикрыть new(можно опять же это сделать stateless - для tcp). Но если винда без антивируса, то всё равно они через браузер и флешки заберутся к домохозяйкам, так что бесполезно.
Или есть более радикальный метод - выделть N x /24 для реальной статики, остальное - реальная динамика. И просто забить и ничего не делать. Ну будут у вас IP из динамических пулов в спамлистах, никому это не помешает