monitorando uma rede para spammers / webscripts que ficaram ruins

Vou reservar algum espaço IP para que alguém possa usá-lo como espaço co-lo e hospedagem dedicada. A rede terá seu próprio roteador cisco e vários switches gerenciados L2 que eu administrarei para que o espelhamento e sniffing de portas não seja um problema.

Eu estou procurando por alguma forma, fora do snort, para monitorar spammers de saída e atividades de bandidos como scripts PHP maliciosos ou hackeados, juntamente com coisas ilegais que eu não quero chegar perto. Tenho soluções para alguns desses problemas em redes diferentes, mas preciso ser muito proativo nessa rede. Não é possível da minha parte auditar o software em todos os servidores, apesar de estarmos investigando a rede com frequência. Além disso, é possível que esses hosts enviem alguns emails para fora.

Alguém tem alguma solução de código aberto para problemas como este que eles recomendariam?

Provavelmente vou acabar dando a esta rede seu próprio servidor smtp com detecção de spam e antivírus e, em seguida, desautorize o smtp de saída nessa rede para qualquer coisa que não seja o nosso servidor.