Citation :
Ça fait quelques années que je me tate pour bloquer les plages d'IP russes et chinoises au niveau du serveur. Quand j'avais regardé de près, ça représentait 90% des attaques.
J'avais fait ça sur mon dédié à une époque. Bon j'ai pas de page d'inscription sur mon site, donc c'était surtout pour protéger des attaques sur le SSH et le FTP. Jusqu'au jour où j'ai été repéré par un botnet bien plus large (pas mal d'IP issues des datacenters OVH entre autres) qui me générait des centaines d'alertes de tentatives de connexion échouées par jour : j'ai fini par mettre en place une liste de 3-4 IP autorisées sur les ports non-web à la place du mécanisme de blocage par liste d'exclusions.
Évidemment pour un site web public c'est pas possible de faire la même chose, donc si t'as un outil fiable qui te permet d'automatiser le blocage des plages d'IP à risque (dont les datacenters russes et chinois réputés pour l'être) c'est pas mal. C'est mieux si la liste est régulièrement mise à jour automatiquement et pas importée une seule fois, ça limite les faux positifs et les trous suite à une évolution de l'adressage. Mais ça suffit pas.
En plus du blocage "manuel" que tu dois déjà utiliser (lister les nouveaux messages depuis le dernier contrôle, identifier les spams, puis ajouter les adresses IP associées à ton firewall), il doit exister des outils pour automatiser l'identification des spams (à brancher directement sur la table des messages), que tu dois pouvoir configurer a minima pour te remonter des alertes, voire automatiser le blocage temporaire des comptes et/ou adresses suspects. Y a aussi des outils qui permettent de bloquer une IP temporairement après X tentatives de connexion ratées (ex : fail2ban).
Et puis t'as l'option captcha sur les pages non authentifiées (inscription, connexion, oubli mdp...), ça limite pas mal la surface d'attaque, et les captchas modernes type reCAPTCHA ne sont pas si relous pour l'utilisateur (juste un composant avec une case à cocher "je ne suis pas un robot"). Mais bon, faut vouloir utiliser l'API Google, dommage qu'il n'y ait pas de vraie concurrence (les captchas robustes non Google sont assez ignobles). Au pire tu peux limiter leur utilisation à la page d'inscription si t'es pas trop ciblé par des attaques sur les autres pages.