Для выявления компьютера, распространяющего спам, необходимо отслеживать на шлюзе и на локальных интерфейсах пользовательских компьютеров пакеты, направленные на внешние адреса, на порт SMTP (как правило, порт 25, если нет переопределений для локальной сети). Используем утилиты в зависимости от ОС шлюза:

1. Linux: используем утилиты tcpdump, trafshow и т. п.
2. При использовании Ideco ICS 3.0 задача упрощается: в общем логе будут видны строки virus_drop, либо smtp_drop и IP-адрес распространителя.
3. Windows 2003: устанавливаем из «Компоненты Windows/Средства управления и наблюдения/Средства сетевого монитора», далее запускаем и отслеживает IP спамера «Администрирование/Сетевой монитор»

Источник: http://www.ideco-software.ru