Assim que encontrarem um IP que atenda à porta 25, eles tentarão tudo o que puderem para retransmiti-lo ou adivinhar endereços de e-mail válidos para os quais podem enviar spam. Eu não acho que você queira deixar de registrá-lo apenas no caso de algo que você precisa diagnosticar mais tarde.
fail2ban e iptables --recent reduziriam as entradas de log por meio do firewall dos IPs que estão tentando se conectar várias vezes. Cada um tem uma "janela" de oportunidade para um spammer tentar antes de ser bloqueado. O fail2ban seria melhor nesse caso, pois seria bloqueado com base em mensagens de falha. iptables --recente é muito menos discriminador e pode bloquear conexões legítimas que passaram por um limiar.
Você pode alterar sua configuração de syslog para registrar apenas .info em seu maillog e .warn / .err em um arquivo separado.