mah, non mi sembra molto utile come tecnica: se tu monitorizzi la 25 e poi gli utenti vanno sulla posta web, quindi usano la 80 tu non becchi un bel niente. poi considera pure che non so quanto può essere legale in termini di tutela della privacy far setacciare il traffico di posta ad un software che, come tutti i software, logga quello che fa...
E non prendo nemmeno in considerazione le connessioni di posta sicure tipo TLS o SSL che non fanno passare le transazioni in chiaro: in quel caso che fa il pezzo di ferro, decripta? naaaaa!

comunque, non conosco software che fanno sta robba: in teoria il software dovrebbe sniffare i pacchetti, tipo con ngrep o ethereal, e attaccarli insieme (ricostruire la sequenza come fa ethereal), vedere se è roba di posta e se ha allegati, copiarsi a parte l'allegato e scansionarlo: al chè, se infetto, dovrebbe bloccare il traffico di tale allegato...

ma qui mi sorge un dubbio: che razzo blocchi se una volta che hai finito quello è già arrivato di là?

sei sicuro che la ferraglia che avevi prima faceva sto lavoro? posta un link al sito del produttore che sono curioso di vedere cosa fa!