私は google apps というサービスを利用していますが、これまでcatch all address を設定していました。

たまにメールアドレスの綴りを間違える方がいて（自身でも間違えたことはありますが）、そのような場合には便利なのですが、最近はスパムメールの仮装の発信アドレスとして任意の文字列を設定して使われることがあるように思われるため、解除することにしました。

google appsのヘルプでも

「キャッチオール アドレスは本当に必要な場合にのみ指定します。」

とあります。

そこで掲げられている理由は、様々な文字列を推定してメールを送ってくるのでメールボックスがあふれてしまうことが挙げられています。

確かに、変なアドレス宛のメールもかなりの数が来ている様子です。
google appsのヘルプ

また、送信リレー（Outbound relay）についても、必要がなければ許可しない設定にしておくことが安全と思います。
送信リレーのヘルプ

また、Wordpress本体については、

WP Login Alerts by DigiP

というプラグインを入れて、ログインページへのアクセスをチェックしているが、ブルートフォースでアクセスしようとしてくる試みの多いことに驚く。

ログインネームは、サイトにある文言から取り出しているようだ。adminやサイトから取り出しているID以外でも、ある程度連続しているサイト上の語を抽出しているように思われる。

自らのページに対する攻撃を見ると、なかなかしみじみするものがある。

面倒であれば、やはりこうした管理について例えばLinkedInなどに任せてしまいたいと思えてくる。

当面は、IDの管理とパスワードのハードニングで対応していこうと思うが、併せて他のよい方法も考えていきたいと思う。