Minha inclinação seria garantir que você tenha os hosts MX de backup que estão a bordo; em seguida, bloqueie o acesso à sua porta 25 de todas as máquinas que não sejam seus hosts MX de backup. O correio legítimo de entrada será entregue ao host MX de backup, que poderá entregá-lo a você; mas o e-mail de entrada não destinado ao seu sistema e proveniente de um host em bom estado não irá a lugar nenhum.
(O "host do backup MX" pode ser até mesmo outra máquina sua, ou até mesmo uma máquina VPS / nuvem que você aluga por hora por alguns dias.)
Não entre em uma corrida armamentista com uma botnet - ela pode adicionar tráfego mais rápido do que você pode adicionar largura de banda e servidores.
Parece que você tem muitos clientes / domínios em uma máquina, o que contribui para mais trabalho. Desculpe.
Você pode considerar mudar para um novo endereço IP e / ou alterar o registro A do host sob ataque para 127.0.0.1 e encontrar um novo nome para o servidor - há algumas chances razoáveis de que os spammers passem para outra vítima e deixe seu novo nome de host / endereço IP sozinho.