Apenas para FYI, programas maliciosos podem modificar a porta / ip de origem / destino dos pacotes. Eles não serão necessariamente capazes de enganar o SPI inteligente em roteadores (a menos que os roteadores estejam infectados), mas às vezes podem evitar regras de firewall simples alterando cabeçalhos de IP ou cabeçalhos TCP no caso de portas.
Quanto à sua pergunta - os autores de malware considerariam um servidor de qualquer tipo (especialmente um servidor de email) como um prêmio mais valioso do que uma estação de trabalho simples. Isso ocorre porque os servidores recebem, inerentemente, maior confiança na rede do que um terminal do cliente. Infectar apenas um software de servidor de e-mail não é útil, mas você também pode ajustar as configurações de firewall e enviar cópias de todo o tráfego de e-mail da organização (entrada e saída) infectando um servidor.
Se o objetivo deles é apenas enviar emails , a maneira mais fácil é usar as rotinas de envio de e-mail existentes do usuário, e o servidor de e-mail não será mais sábio, a menos que detecte spam -ish palavras no e-mail de saída e arrasta-lo.
Se eles quiserem não apenas enviar e-mails, mas também participar de comunicações privadas dentro da organização, eles infectarão um servidor de e-mail.
O motivo pelo qual eles podem ter feito seu próprio servidor SMTP incorporado (em uma estação de trabalho, suponho) é que você não está comprometido com os filtros de spam de correio de saída do servidor SMTP downstream. Como um autor de malware, você não quer depender de verificações de legitimidade ignoradas, você deseja rotear completamente elas. Naturalmente, muitos roteadores são configurados para bloquear protocolos de e-mail, como o Exchange e o SMTP, em todas as rotas, exceto para o servidor de e-mail certificado, para evitar exatamente esse tipo de exploração.
(Atualizado abaixo) ...
- Is there some part of the email system im missing that makes this impossible, and I'm barking up the wrong tree?
O envio de email "como" o usuário autorizado usando as credenciais da própria conta do usuário não é impossível , mas para alguns clientes pode ser muito difícil realizá-lo sem ser detectado se o cliente for resistente à automação como Outlook. Você também precisa escrever um software para cada cliente de e-mail em particular e tentar antecipar e evitar possíveis problemas que podem acionar diálogos pop-up, permitindo que o usuário saiba de um possível problema, etc.
Eu não acho que você está latindo na árvore errada, mas a implementação de um servidor micro-smtp em seu malware terá maior probabilidade de sucesso, a menos que haja regras de roteamento configuradas para bloqueá-lo (o que não é em muitas redes, incluindo a sua, aparentemente).
- If I am right, and it was a 'Fake Email Server' sending out those emails, would there be any problems that arise from me blocking all traffic through the firewall that has a DESTINATION port for email traffic that doesn't originate from the server?
Isso não será um problema, mas também não o tornará seguro.
Para ser totalmente seguro, você precisa anular o tráfego all em todos os endpoints por padrão e forçar todos os clientes a usar um proxy HTTP que inspecione todo o tráfego e "compreende" HTTP (bem como uma lista negra bem mantida ou lista branca de sites permitidos).
A razão pela qual simplesmente escrever uma regra de roteamento para a porta SMTP não funcionará é que eles podem usar apenas outras portas para atividades maliciosas.
O problema que estamos vendo agora (nós = comunidade de segurança) é que a nova onda de ataques não usa portas ou protocolos exóticos, tudo é baseado em HTTP e feito através do navegador agora. Algo tão inofensivo quanto visitar o msn.com pode levar ao XSS armazenado, resultando em javascript malicioso sendo executado no navegador que envia e-mail via webmail, rouba informações ou usa recursos de computação locais para o ganho do invasor (botnets, DDoS, mineração de bitcoin etc.) . Nós criamos um monstro. A Web é praticamente uma falha de segurança não mitigada, realmente escassa, por si só, mesmo quando você bloqueia a execução de executáveis estrangeiros e bloqueia sua rede atrás de um proxy inteligente.