Meine Firewall (Sygate PF) zeigt dauernd Portscans an, teilweise sogar mit einer Remote Adresse aus unserem Adressraum. Den Rechner mit der entsprechenden IP habe ich mit Virusscanner gecheckt (SOPHOS) und nix gefunden.

a) Kann die IP vorgetäuscht sein?

Ja, siehe http://www.insecure.org/nmap/data/nmap_manpage.html, Option -S und insbesondere den idlescan -sI (im Detail beschrieben unter http://www.insecure.org/nmap/idlescan.html).

b) Wenn Sie vorgetäuscht ist, hat dann vielleicht ein Hacker Zugriff auf unsere Systeme erlangt?

Wenn sie vorgetäuscht ist, kann sie von überall her kommen.

c) Sind Portscans eigentlich legal

Strittig. Wer einen der Öffentlichkeit zugänglichen Rechner betreibt, muß sich nicht wundern, wenn die Öffentlichkeit gelegentlich auch versucht, auf den Rechner zuzugreifen. Das mag unhöflich sein, aber definitiv illegal sind nur Manipulationsversuche an diesem Rechner, die Portscans folgen könnten.

und was bringt ein Schreiben an die entsprechenden Abuse Mail Adressen?

Probiere es aus, der eine reagiert so, der andere so.

d) Was würdet Ihr mir raten bei ca 50 PortScans täglich pro Rechner?

Es gibt schlimmeres. Offene Türen, die durch Postscans entdeckt werden, beispielsweise. Mit anderen Worten: Kümmere Dich nicht um die Portscans, kümmere Dich um die Systemsicherheit.