Man muss sich nur mal klar machen, wie diese Scanner arbeiten. Zum einen sind es viele Scanner, die unabhängig voneinander arbeiten und sich nicht kennen. Da ist es egal, ob der eine schon mal eine Port gescannt hat oder nicht.
Zum anderen haben die kein Gedächtnis. Die scannen einfach stumpf IP-Adressbereiche und Port-Bereiche. Je nachdem, wonach gesucht wird, vielleicht auch nur einzelne Ports.
Wenn dynamische Adressbereiche gescannt werden, dann nutzt es ihnen auch nichts, sich zu merken, welche Adressen schon gescannt wurde. Am nächsten Tag hängen da wieder ganz andere Rechner dran. Ob man die IP-Adresse häufiger wechselt, dürfte daher auch keinen Unterschied machen.
Ob der Port intern oder extern verschieden ist, könnte vielleicht einen Unterschied machen, wenn der interne Port für Scanner interessanter ist und daher vielleicht häufiger gescannt wird. Dann sollte man nach außen hin einen anderen Port wählen. Das ist aber mehr so eine theoretische Überlegung. Da ich nicht weiß, nach welchen Ports gesucht wird, kann ich da auch keine Tipps geben.
Um da wirklich irgendwelche Regeln abzuleiten, bräuchte man eine statistisch relevante Anzahl an Anschlüssen die man unterschiedlich konfiguriert und systemtisch auswertet. Also 100 statische Anschlüsse, 100 mit wechselnder IP-Adresse, 100 mit unterschiedlichen Portnummern usw.
Wobei 100 immer noch eine kleine Stichproben wären. Aber so hat das leider alles nur "Anekdotische Evidenz", wie die Statistiker so schön sagen.
Vielleicht hat man in dem Monat, wo man eine bestimmte Konfiguration testet, gerade zufällig ein generell erhöhtes Spam-Aufkommen. Und dann zieht man ganz falsche Schlüsse.
