メールサーバとスパム対策は直接関係しないのでは？
メールの規模によると思いますが、そこそこのレベルでしたらホスティングの方が安全だと思います。自社内にメールサーバを設置する場合、外部からのアタックに備えた構成にしなければなりません。

スパム，ウイルス，ワーム，etcセキュリティ対策は、ゲートウェイに専用装置（アプライアンスサーバ，ゲートウェイに特化した一体型）を入れ、サーバ，クライアントにもそれぞれソフトを入れればかなり安全かと思います。

おはようございます
うちは社員約１００名ですがホスティングしてます。
スパムに関しては、オプションで提供されるスパムフィルターもありますが
使っていません。
ユーザーにはOutlookのスパムフィルターで破棄してもらっています。

サービスで利用しているのはFromヘッダーにある特定送信元、ドメインで
一括して破棄する機能です。
取引の９９％が国内の会社でco.jpまたは.jpであるため.ccやら.ruなどなどの
ドメインはありえないので・・・。

自社でメールサーバを置く場合、セキュリティ対策、運用工数が
大きくなると考えられます。

私どもではホスティングサービスを利用しています。ただし、VPSタイプのものです。root権限が使えるので何でもできます。

「何でも」とはスパム対策もできるということです。以前は通常の共用タイプのホスティングサービスを利用していましたが、これではSPAM対策が何もできないため、VPS型へ移行しSPAM対策を実施しています。
　※参考URLがVPS型ホスティングサービスの一例です。

SPAM対策としてはS25Rという方式を採用しています。
　※URLの欄をなぜか追加できないため↓にURLを書いておきます。
　http://www.gabacho-net.jp/anti-spam/

S25Rは強力ですが、ちょっと効き過ぎで、そのままだと正規メールもはじかれやすい傾向にあります。↑のサイトではgreylisting等の技術でその辺を回避する方法にも触れられています。

私どもでは、独自のプログラムを作って、「正規メールはじき」を抑止していますが、基本的考え方はgreylistingなどと同じです。

運用実績として、正規メールをはじく率は 10万通に1通です。これは私どものサイト（ユーザ数約200）では、月に1通くらいの割合です。ユーザからはこれで十分との評価を得ています。

一般からの応募メールのように、絶対はじきたくないものもあり、こういう個別のユーザ（メールアカウント）については、個別にS25Rを適用しないようにしています。

本題とは関係のない事です。

※URLの欄をなぜか追加できないため↓にURLを書いておきます。

こちらは、Firefox を使用していると起きる事を確認しています。
IEを使用してアクセスすれば大丈夫なはずです。

FAQに追加しておいて欲しい内容ですね。
出来れば、Firefoxでも全ての機能が使用できるようになる方向で検討して欲しいです。

※本題とは無関係の話題ですみません。
　Firefoxを使っています。IEは私の環境では動作しません。
　仕方ないので、URL欄は使わないようにします。
　マルチプラットフォームで動作するブラウザに対応していただきたいものですね。

皆様、本当に色々なアドバイスありがとうございます。

運用の手法も様々な形があるということが
よく判りました。

中でもneuro様が推奨された
WebARENA SuitePROが一番可用性があるのかなと思います。
結局自分で構築しなければならないとは思いますが、
外部でサーバを構築することによって、セキュリティ面では
多少のリスク軽減が出来ると考えます。

他にも教えていただいたサービスの中でも
良いものは多いのですが、導入、運用コストを考えると
上記がベターな気がしました。

安く、しっかりした運用を行うには
それなりの技術が必要ということなんでしょうかね。