>[оверквотинг удален]
>>>> они ругаются что с моего сервера туда идет спам?
>>> малость ошибся...
>> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
>> себя, это блокировка вообще 25 порта и спама в том числе...
> Хорошо. Тогда если вернутся к изначальным правилам:
> allow tcp from table(11) to me dst-port 25 keep-state
> deny log logamount 100000 tcp from table(10) to any dst-port 25
> смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается
> "ломится" на 216.66.15.109?
> Или каким образом мне узнать кто именно спамит в сети?

deny log logamount 100000 tcp from table(10) to any dst-port 25
Вы запретили только из table(10) коннектиться куда угодно на 25 порт.

Один из основных вопросов - вы уверены, что спам до сих пор отсылается???
Чтобы что-то увидеть вам надо поймать "всплеск", если эти правила присутствовали ранее - изучайте логи, вполне вероятно что наилучший выход - запретить всем и собрать статистику, проанализировать логи и попробовать вычислить зараженый комп...
Но как взможный вариант - рассылка состоялась, антивирь обновился, обнаружил вирус и грохнул... естественно при таком раскладе вы уже ничего не обнаружите...