Ho visto una regola in un ambiente che rileva i tipi di query MX DNS che vanno da un'origine interna a un server SMTP esterno, nessuno. La giustificazione afferma che questo potrebbe essere indicativo del malware utilizzato per lo spamming. Mi piacerebbe capire meglio come questo funziona, qualcuno ha una spiegazione di come funzionerebbe.
L'idea di base è probabilmente che i client interni utilizzino semplicemente il server di posta del loro specifico provider di posta che è configurato nell'agente utente della posta. Mentre lo spam cerca di consegnare direttamente al MTA (mail transfer agent) del dominio di destinazione. Il server di posta configurato non ha bisogno di ricerche MX (solo normali ricerche A | AAAA) mentre la consegna ai domini di destinazione richiede MTA ricerche MX. Inoltre, lo spamming di molti domini diversi causa molte diverse ricerche MX.