Кто-то шлет спам с webmaster@$someservername, $someservername — разные, IPшники из Челябинска и Новосибирска, сегодня еще из Алчевска добавился, список "To:" один и тот же.
Еще общего — "Received: from puxas by $servername with local (Exim 4.80)" и X-PHP-Originating-Script: 500:rusend.php во всех письмах.

Так норм будет?

acl_check_rcpt:
    …
    deny
        message = We don't need no spam
        senders = webmaster 
        local_parts = puxas

И как впилить в правило еще и X-PHP-Originating-Script: 500:rusend.php?