Seu problema de "grandes quantidades de tráfego Mail_POP" provavelmente está relacionado a um bug que existia em algumas versões antigas (por volta de 2012) do ntop. Estava categorizando erroneamente o tráfego HTTPS como POP.
Há uma discussão que aborda o assunto aqui ..
Moreover, port 443 is mapped to POP rather than HTTPS..
E algumas menções a aqui também
.. there was a report back in March of HTTPS traffic being classified as mail_POP.
Não dá para esclarecer seus outros problemas, mas minha experiência com o ntop até agora indica que pode ser um pouco esquisito.