mah, non mi sembra molto utile come tecnica: se tu monitorizzi la 25 e poi gli utenti vanno sulla posta web, quindi usano la 80 tu non becchi un bel niente.
è evidente che volendo monitorizzo anche la 80, come la 21, come tutte quelle che voglio

non so quanto può essere legale in termini di tutela della privacy far setacciare il traffico di posta ad un software che, come tutti i software, logga quello che fa...
è la stessa cosa che fanno spamassassin o clamav...

sei sicuro che la ferraglia che avevi prima faceva sto lavoro? posta un link al sito del produttore che sono curioso di vedere cosa fa!
ti assicuro che la "ferraglia" per quanto sappiamo che in termini di sicurezza non sia mai sufficiente, svolge egregiamente il suo lavoro

http://www.fortinet.com/products/

io ho un fortigate 60U

comunque, non conosco software che fanno sta robba: in teoria il software dovrebbe sniffare i pacchetti, tipo con ngrep o ethereal, e attaccarli insieme (ricostruire la sequenza come fa ethereal), vedere se è roba di posta e se ha allegati, copiarsi a parte l'allegato e scansionarlo: al chè, se infetto, dovrebbe bloccare il traffico di tale allegato...

ma qui mi sorge un dubbio: che razzo blocchi se una volta che hai finito quello è già arrivato di là
confesso che questo dubbio è venuto anche a me e sarò grato a qualcuno se melo chiarirà...

ti riporto un esempio di una mail che è stata bloccata stamattina (tipo da mezzanotte a ora mene ha bloccate 20)

codice:
2005-12-20 13:39:12 log_id=0200060101 type=virus subtype=infected pri=warning src=81.120.166.42 dst=10.0.0.128 src_int=wan1 dst_int=dmz service=smtp status=blocked from="hostmaster@seldati.it" to="xxxxxxx@dominio.it" msg="The file reg_pass.zip is infected with W32/Sober.AD-mm."