Ich habe gerade mod_defensible nach längeren Test deinstalliert, denn es hat fast nichts gebracht. Die Trefferrate würde ich auf irgendwo zwischen 5-10% des täglich eintreffenden Spams schätzen. Dafür dauerte der Seitenaufbau bedingt durch die Abfrage der RBLs streckenweise ein paar Sekunden. Kein toller Tausch wie ich finde.
Daran hat auch Version 1.2 von mod_defensible nichts geändert, bei der die Konfiguration auch auf <Limit> und <Location> beschränkt werden konnte. Irgendwie habe ich keine Konfiguration gefunden, bei der die RBL nur bei Aufruf von wp-comments-post.php oder wp-trackback.php abgefragt wurde. Selbst wenn es geklappt hätte, wäre der Vorteil einfach zu gering gewesen. Daher weg damit.
Eine weise Entscheidung. Hatte es für kure Zeit auch bei mir im Einsatz, aber es konnte mich auch nicht wirklich überzeugen. Gründe dafür führst du ja genug an.