上のアイデアを見て、いろいろ考えてたんだけど、あまり画期的なのは浮かばず。
ただNNIPFの改善案みたいなのが浮かんだ。

NNIPFでは単に出されているIPアドレスから、怪しいか怪しくないかを判定する、個人用DNSBLみたいな感じに使えるわけだけど、たぶん未知の中国国内のメールサーバから出された正しいメールは、スパムと判定される可能性が高いと思う。
つまり、近場のIPでスパム送信が行われていると、とばっちりで正しいものも怪しいと見られてしまう。
まあ、ある程度は仕方ないのだけど、もうちょっと救済できないかと思った。

そこで、HELO(のドメイン)毎のNNIPFのマッピングを作ってやり、どのHELOだったらどのあたりのIPが怪しい・怪しくない
というのを作ってやってはどうか。
スパムはHELOいろいろと偽装してくるけど、偽装に使われる側のドメインはだいたい同じIPから出ているから、少し学習すればほぼ誤検出はなくなるだろう。
未知のHELOが来たときは、全体の(つまり従来の)NNIPFの評価を使うようにするが、判定は甘めになるようにしておく。
これで誤検出の可能性が減らせるのではないだろうか。