Alle deine angeführten Beispiele erfordern, dass das User-System bereits korrumpiert ist.
Ein korrumpiertes User-System würde ich als Gegebenheit betrachten, mit der das Netzwerk genauso fertig werden muss wie mit irgendeinem kaputten Netzteil. Soll nicht vorkommen, wird es aber und wenn es soweit ist soll der Impact so klein wie möglich sein. Wenn ich sicher weiß, dass ich Outbound-SMTP nicht brauche, warum soll ich es zulassen und ein Risiko eingehen? Und sei es bloß das jemand Spam verschickt.