Возможный дубликат:
Как вы обнаруживаете спам-бота в своей сети?
В нашей сети из 120 компьютеров с Windows есть один или несколько компьютеров, отправляющих спам. Есть ли простой способ найти эту машину, не проверяя каждую из них физически.
Прежде всего, заблокируйте весь исходящий SMTP-трафик с машин, которым он не нужен. Затем вы можете проверить свой брандмауэр на наличие хостов, пытающихся получить доступ к SMTP-серверам.
Или вы можете включить зеркалирование портов на пограничном / граничном маршрутизаторе и подключить к нему ПК с анализатором пакетов. Уловить спамеров с WireShark не должно быть сложно.
Выполните захват пакетов или настройте какой-либо фильтр регистрации на вашем оборудовании по периметру (межсетевой экран или пограничный маршрутизатор). Следите за исходящим трафиком, предназначенным для порта 25. Как только вы найдете IP-адрес трафика, начните поиск машины в обратном направлении. Это может означать просмотр таблиц CAM на ваших коммутаторах, чтобы выяснить, какой порт связан с MAC-адресом, которому принадлежит IP.
Если в этом нет большой потребности, я предлагаю вам просто заблокировать исходящие запросы на порт 25 от всех систем, кроме вашего почтового сервера.