>страшным злом считает base64 и почти в каждом входящем письме видит
>исполняемый код типа такого:
>
>SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90
>90 90 90 90 90
>
> Нет ли на просторах интернета вменяемого набора правил для защиты почтового
>релея не от мнимых, а от более-менее подлинных угроз?

"Подлинность" угрозы - понятие более чем относительное. Систем, которые бы гарантированно отличали атаки от легального траффика, равно как и систем, которые бы отлавливали 100% спама, не существует. Весь вопрос в параноидальности конкретного админа в конкретной ситуации, а здесь каких-то "стандартных" правил быть не может.

Рекомендация в данном случае крайне простая - отключайте по одному правила, которые Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без этого никуда - потом всё войдёт в нормальную колею. Собственно, задача snort в том и состоит, чтобы трахать мозг админу :)

b.r.