Diga ao seu firewall para descartar todos os pacotes SMTP de saída para todos os hosts, exceto o seu servidor de e-mail. Isso evitará qualquer spam SMTP direto de qualquer uma das suas estações de trabalho potencialmente infectadas.
Você diz que seu servidor de e-mail não é um retransmissor aberto, mas você está permitindo relés da LAN? Muitas pessoas fazem isso quando configuram MFPs, scanners, etc. Você pode testar pulando em outra estação de trabalho e fazendo:
telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: [email protected]
rcpt to: [email protected]
se você voltar 250 OK
, você está permitindo relés, e um bot pode facilmente retransmitir o e-mail do seu servidor de e-mail.
Para encontrar a estação de trabalho que é spam, pegue um laptop, instale o WireShark. Coloque seu laptop em um hub (verifique se é um hub) e conecte sua interface LAN no firewall na porta # 2 do hub e conecte outro cabo da porta # 3 do hub na interface LAN.
Ilumine a captura com um filtro de exibição como:
tcp.port eq 25 && src.ip != <your.mail.server.ip>