nuevamente hay que suponer muchas cosas en este tipo de temas, puesto que no dicen nada sobre como tienen montada la red, que recursos utiliza, etc.
suponiendo que tienes un equipo (router, server, etc) por el que entra y sale el tráfico, es fácil saber mirando los diferentes servicios que se encargan de monitorear la red, y si no los tiene, pues recomiendo que lo instale, ya que enfrenta un problema grave y no hay otra forma mejor de resolverlo.
1. Mi servidor de correo es Microsoft Exchange
2.Todo el trafico de la red inbound y outbound pasa sobre un router Sonicwall NSA 3500
3.En la regla del firewall se estableció que solamente el servidor pueda enviar correos por SMTP.
4. Ya me meti en los Knowledge Base de Sonicwall para verificar que la regla de firewall este correcta, y asi es.
5. Tambien tenemos un Email Security de Sonicwall y en el mismo no figuran correos de salida con magnitud a gran escala como para poder identificar ahi al spamer.
Voy a probar usar el Wireshark con el puerto 587 a ver si me muestra algo